Hackers estão aproveitando a popularidade de plataformas como Reddit e WeTransfer para distribuir o malware Lumma Stealer por meio de mais de 1.000 páginas falsas na web. A estratégia envolve imitar as marcas legítimas para enganar usuários desavisados.
Sites falsos espalham malware Lumma Stealer
Imagem: BleepingComputer
Nas páginas fraudulentas que simulam ser o Reddit, os cibercriminosos criam discussões fictícias sobre tópicos variados. Nessas discussões, um usuário solicita ajuda para baixar uma ferramenta específica, outro compartilha um link supostamente legítimo hospedado no WeTransfer, e um terceiro agradece, tornando o cenário mais convincente.
Ao clicar no link fornecido, as vítimas são direcionadas para um site falso que imita a interface do WeTransfer. No entanto, o botão de download conduz ao arquivo malicioso Lumma Stealer, hospedado no domínio “weighcobbweo[.]top”.
Domínios falsos criados para enganar
Os sites utilizados nessa campanha fraudulenta foram projetados para parecerem autênticos à primeira vista, contendo nomes similares às marcas que estão sendo falsificadas, seguidos de números e caracteres aleatórios. Normalmente, os domínios terminam com extensões como “.org” ou “.net”.
Pesquisa revela escala da campanha
O pesquisador de segurança da Sekoia, identificado como crep1x, foi responsável por identificar a operação. Ele revelou que 529 páginas falsas utilizam a marca Reddit, enquanto outras 407 se passam pelo serviço oficial do WeTransfer.
Notícias Relacionadas
Ameaça cibernética
Malware J-magic ataca gateways Juniper VPN com técnica de "pacote mágico"
Malware J-magic mira dispositivos Juniper VPN, utilizando o "pacote mágico" para abrir acesso remoto. Ataca setores como semicondutores, energia e manufatura.
Cibersegurança Avançada
Hackers exploram falha em roteadores cnPilot para criar botnet AIRASHI
Hackers exploram uma falha de dia zero em roteadores cnPilot para implantar a botnet AIRASHI, usada em ataques DDoS de alta capacidade.
Embora não tenha sido possível determinar o método inicial de infecção, os tópicos falsos sugerem uma preparação elaborada. A campanha pode ter sido disseminada por meio de malvertising (anúncios maliciosos), envenenamento de SEO, sites maliciosos ou mensagens diretas em redes sociais.
Essa não é a primeira vez que algo semelhante ocorre. Há um ano, o mesmo pesquisador descobriu uma campanha envolvendo 1.300 sites falsos que imitavam a marca AnyDesk para distribuir o malware Vidar Stealer.
Perigos do Lumma Stealer
O Lumma Stealer é uma ferramenta sofisticada voltada para o roubo de informações sensíveis. Esse malware é frequentemente utilizado para coletar dados confidenciais, como senhas armazenadas em navegadores, tokens de sessão e outros detalhes que podem ser vendidos em fóruns clandestinos.
Além disso, ele possibilita ataques mais graves contra sistemas corporativos e foi responsável por comprometer serviços como PowerSchool, HotTopic, CircleCI e Snowflake em eventos recentes.
