Les pirates informatiques distribuent près de 1 000 pages Web imitant Reddit et le service de partage de fichiers WeTransfer qui ont conduit au téléchargement du logiciel malveillant Lumma Stealer.

Sur les fausses pages, l’acteur de la menace abuse de la marque Reddit en montrant un faux fil de discussion sur un sujet spécifique. Le créateur du fil demande de l’aide pour télécharger un outil spécifique, un autre utilisateur propose de l’aider en le téléchargeant sur WeTransfer et en partageant le lien, et un troisième le remercie de faire en sorte que tout paraisse légitime.

Faux site Reddit

Les victimes sans méfiance qui cliquent sur le lien sont redirigées vers un faux site WeTransfer qui imite l’interface du service de partage de fichiers populaire. Le bouton « Télécharger’ mène à la charge utile Lumma Stealer hébergée sur » weighcobbweo[.]haut.”

Tous les sites utilisés dans cette campagne contiennent une chaîne de la marque qu’ils usurpent, suivie de nombres et de caractères aléatoires pour apparaître légitimes en un coup d’œil. Les domaines de premier niveau sont“. org « ou ». net »”

Tous les sites faisant partie de la campagne contiennent une chaîne de la marque qu’ils usurpent, suivie de nombres et de caractères aléatoires pour apparaître légitimes en un coup d’œil. Les domaines de premier niveau sont“. org « ou ». net »”

Faux portail WeTransfer

Ces faux sites Web ont été découverts par le chercheur de Sekoia crep1x, qui a partagé une liste complète des pages Web participant au programme. Au total, il y a 529 pages se faisant passer pour Reddit et 407 se faisant passer pour le service officiel de WeTransfer servant un téléchargement.

Le chercheur a déclaré à Breachtrace qu’il était incapable de récupérer des indices sur les étapes précédentes de la chaîne d’infection, mais les sujets spécifiques utilisés indiquent une certaine forme d’élaboration.

L’attaque peut commencer par une publicité malveillante, un empoisonnement SEO, des sites Web malveillants, des messages directs sur les réseaux sociaux et d’autres moyens.

Il y a un an, le même chercheur a découvert une campagne similaire dans laquelle 1 300 sites abusaient de la marque AnyDesk pour pousser le malware Vidar Stealer.

Risque de malware voleur d’informations
Lumma Stealer est un outil puissant doté de mécanismes avancés d’évasion et de vol de données. Le malware est vendu à des pirates informatiques qui le distribuent via diverses méthodes, notamment les commentaires GitHub, les sites générateurs de fausses fausses nues et la publicité malveillante.

Les logiciels malveillants voleurs d’informations peuvent collecter, entre autres, des mots de passe stockés sur les navigateurs Web et des jetons de session qui peuvent être utilisés pour détourner des comptes sans connaître les informations d’identification.

Ce type de menace est couramment utilisé pour exfiltrer les données de connexion sensibles des entreprises et les détails sont généralement vendus sur des forums de pirates informatiques.

Plus récemment, les infostealers ont permis des attaques à fort impact sur PowerSchool, HotTopic, CircleCI et Snowflake.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *