黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页,这些网页会诱导用户下载Lumma Stealer恶意软件。
在假冒网页上,威胁行为体滥用Reddit品牌,展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具,另一名用户则通过WeTransfer上传该工具并分享链接,第三名用户表示感谢,以使整个过程看似合法。
假冒Reddit站点(来源:BleepingComputer)
不明真相的受害者点击链接后,会被带到一个模仿WeTransfer流行文件共享服务界面的假冒网站。点击“下载”按钮后,用户会被引导至“weighcobbweo[.]top”上托管的Lumma Stealer有效载荷。
此次活动中使用的所有网站都包含一串他们假冒的品牌名称,后面跟着随机数字和字符,以便在快速浏览时显得合法。顶级域名要么是“.org”,要么是“.net”。
参与此次活动的所有网站都包含一串他们假冒的品牌名称,后面跟着随机数字和字符,以便在快速浏览时显得合法。顶级域名要么是“.org”,要么是“.net”。
假冒WeTransfer门户(来源:BleepingComputer)
Sekoia研究员crep1x发现了这些假冒网站,并分享了参与此次活动的完整网页列表。总共有529个假冒Reddit的页面和407个假冒WeTransfer官方服务的下载页面。
该研究员告诉BleepingComputer,他无法获取感染链先前阶段的任何线索,但使用的特定话题表明有一定的精心策划。
此次攻击可能始于恶意广告、搜索引擎中毒、恶意网站、社交媒体上的直接消息和其他手段。
一年前,同一位研究员发现了一场类似的活动,其中1300个网站滥用AnyDesk品牌来推广Vidar Stealer恶意软件。
信息窃取恶意软件的风险
Lumma Stealer是一款功能强大的工具,具有先进的逃避和数据窃取机制。该恶意软件被出售给黑客,黑客通过GitHub评论、裸照生成器网站和恶意广告等多种方式分发。
信息窃取恶意软件可以收集存储在网页浏览器中的密码和会话令牌等信息,这些信息可用于在不知道凭据的情况下劫持账户。
此类威胁通常用于从公司窃取敏感登录数据,而这些数据通常会在黑客论坛上出售。
最近,信息窃取软件对PowerSchool、HotTopic、CircleCI和Snowflake等公司发动了高影响力攻击。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容