На фейковых версиях Reddit и WeTransfer распространяют вредоносное ПО Lumma Stealer

Киберпреступники запустили масштабную кампанию, создав около тысячи фальшивых веб-ресурсов, имитирующих известные платформы Reddit и WeTransfer. Эти сайты служат для распространения вредоносного программного обеспечения Lumma Stealer.

На поддельных страницах, созданных под видом Reddit, отображается ложная ветка обсуждения, где участники обмениваются информацией о необходимости загрузить некий инструмент. Один из «пользователей» якобы предлагает разместить файл на WeTransfer, а другой благодарит за помощь, придавая ситуации убедительности. Ничего не подозревающие пользователи, следуя по предоставленной ссылке, попадают на поддельную версию WeTransfer. Интерфейс копирует оригинальный сервис, но кнопка «Загрузить» на самом деле активирует скачивание вредоносной программы с ресурса «weighcobbweo[.]top».

Эти сайты построены так, чтобы казаться легитимными: в их доменных именах присутствуют бренды, за которыми следуют случайные символы, а верхний уровень доменов представлен расширениями «.org» и «.net».

Исследователь Sekoia по имени Crep1x выявил схему и предоставил полный перечень участвующих веб-страниц. По его данным, 529 сайтов замаскированы под Reddit, а ещё 407 под видом WeTransfer предлагают загрузить файлы. Crep1x сообщил изданию BleepingComputer, что установить начальные шаги в цепочке заражения не удалось, но выбор тем для фейковых обсуждений указывает на тщательную подготовку злоумышленников.

Атака может начинаться с использования вредоносной рекламы, механизмов SEO-продвижения, создания опасных сайтов, отправки сообщений через социальные сети и других инструментов.

Ранее, по словам Crep1x, он уже фиксировал похожую схему: около года назад в ходе кампании злоумышленники использовали 1300 фальшивых сайтов с логотипом AnyDesk для распространения Vidar Stealer.