Hackers estão distribuindo cerca de 1.000 páginas web falsas imitando o Reddit e o serviço de compartilhamento de arquivos WeTransfer que resultam no download do malware Lumma Stealer.
Nas páginas falsas, os atacantes estão abusando da marca Reddit ao exibir uma thread de discussão fake sobre um tópico específico.
O criador da thread pede ajuda para baixar uma ferramenta específica, outro usuário se oferece para ajudar, fazendo o upload dela no WeTransfer e compartilhando o link, e um terceiro agradece, fazendo tudo parecer legítimo.
Vítimas desavisadas que clicam no link são levadas a um site falso do WeTransfer que imita a interface do popular serviço de compartilhamento de arquivos.
O botão ‘Download’ leva ao payload do Lumma Stealer hospedado em “weighcobbweo[.]top”.
Todos os sites usados nesta campanha contêm uma sequência da marca que eles imitam seguida por números aleatórios e caracteres para parecer legítimo à primeira vista.
Os domínios de nível superior são ou “.org” ou “.net”.
Todos os sites parte da campanha contêm uma sequência da marca que eles imitam seguida por números aleatórios e caracteres para parecer legítimo à primeira vista.
Os domínios de nível superior são ou “.org” ou “.net”.
Estes websites falsos foram encontrados pelo pesquisador da Sekoia, crep1x, que compartilhou uma lista completa de páginas web participando do esquema.
No total, há 529 páginas imitando o Reddit e 407 posando como o serviço oficial do WeTransfer servindo um download.
O pesquisador informou que não conseguiu recuperar quaisquer pistas sobre as etapas anteriores da cadeia de infecção, mas os tópicos específicos usados indicam alguma forma de elaboração.
O ataque pode começar com malvertising, envenenamento de SEO, websites maliciosos, mensagens diretas em redes sociais e outros meios.
Um ano atrás, o mesmo pesquisador descobriu uma campanha similar onde 1.300 sites abusavam da marca AnyDesk para promover o malware Vidar Stealer.
Lumma Stealer é uma ferramenta potente com mecanismos avançados de evasão e roubo de dados.
O malware é vendido para hackers que o distribuem através de vários métodos, incluindo comentários no GitHub, sites geradores de deepfake nus, e malvertising.
Malwares de roubo de informações podem coletar, entre outras coisas, senhas armazenadas em navegadores web e tokens de sessão que podem ser usados para sequestrar contas sem conhecer as credenciais.
Este tipo de ameaça é comumente usado para exfiltrar dados de login sensíveis de empresas e os detalhes são normalmente vendidos em fóruns de hackers.
Mais recentemente, infostealers possibilitaram ataques de alto impacto em PowerSchool, HotTopic, CircleCI e Snowflake.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...