Исследователь из компании Sekoia обнаружил, что хакеры используют около 1000 страниц, имитирующих Reddit и файлообменный сервис WeTransfer. Посещение таких сайтов приводит к загрузке стилера Lumma.
Все фальшивые страницы, имитирующие Reddit, построены по схожему принципу: якобы это ветка обсуждения какой-то конкретной проблемы. Обычно автор темы просит помощи с загрузкой определенного инструмента, а другой пользователь предлагает помочь, якобы заливая нужный софт на WeTransfer и публикуя ссылку. Чтобы все выглядело более правдоподобно, третий пользователь благодарит «доброго самаритянина».
Ничего не подозревающие пользователи, перешедшие по такой ссылке, попадают на фальшивый сайт WeTransfer, имитирующий интерфейс популярного файлообенника. Кнопка «Загрузить» здесь ведет к скачиванию полезной нагрузки Lumma, размещенной на сайте weighcobbweo[.]top.
Отмечается, что адреса всех сайтов, задействованных в этой кампании, содержат строку с названием бренда, за который они выдают себя (например, Reddit), а также случайные цифры и символы. Как правило, подделки располагаются в доменах верхнего уровня (.org и .net).
Аналитик Sekoia опубликовал список веб-страниц, используемых в этой схеме. Суммарно список начитывает 529 страниц, замаскированных под Reddit, и 407 страниц, выдающих себя за WeTransfer.
Пока неизвестно, как именно жертв заманивают на такие фальшивые ресурсы, но издание Bleeping Computer отмечает, что атаки могут начинаться с вредоносной рекламы, отравления SEO, вредоносных сайтов, а также сообщений в социальных сетях, мессенджерах и так далее.
Отметим, что практически одновременно с этим открытием исследователи из Netskope Threat Labs предупредили, что стилер Lumma активно распространяется и при помощи фальшивых CAPTCHA. Такие атаки относятся к типу ClickFix (ClearFake или OneDrive Pastejacking), который в последнее время весьма популярен среди злоумышленников.
Жертв заманивают на мошеннические сайты и обманом заставляют выполнять вредоносные команды PowerShell, вручную заражая собственную систему вредоносным ПО. Обычно злоумышленники оправдывают необходимость выполнения команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.
