Gli hacker stanno diffondendo quasi 1.000 pagine web che imitano Reddit e il servizio di condivisione file WeTransfer per distribuire il malware Lumma Stealer. La campagna, scoperta dal ricercatore crep1x di Sekoia, sfrutta siti falsi per ingannare le vittime e farle scaricare il pericoloso trojan.
Le pagine contraffatte mostrano una finta discussione su Reddit, dove un utente chiede aiuto per scaricare uno strumento specifico. Un altro utente offre assistenza caricando il file su WeTransfer e condividendo il link, mentre un terzo ringrazia per rendere tutto più credibile. Cliccando sul link, le vittime vengono reindirizzate a un falso sito WeTransfer che imita l'interfaccia del popolare servizio di file sharing.
Il pulsante "Download" porta al download del payload di Lumma Stealer, ospitato su un dominio malevolo. Tutti i siti utilizzati in questa campagna contengono una stringa del marchio che impersonano seguita da numeri e caratteri casuali, per apparire legittimi a un'occhiata superficiale. I domini di primo livello sono ".org" o ".net". In totale sono state identificate 529 pagine Reddit fake e 407 che si fingono WeTransfer.
Lumma Stealer è un potente malware info-stealer con meccanismi avanzati di evasione e furto di dati. Viene venduto a criminali informatici che lo distribuiscono attraverso vari metodi, tra cui commenti su GitHub, siti generatori di deepfake e malvertising.
Questo tipo di malware è in grado di rubare password salvate nei browser web e token di sessione che possono essere utilizzati per dirottare account senza conoscere le credenziali. I dati rubati vengono solitamente venduti su forum di hacker.
Gli info-stealer hanno recentemente permesso attacchi ad alto impatto contro aziende come PowerSchool, HotTopic, CircleCI e Snowflake. La diffusione di queste minacce attraverso siti contraffatti di servizi popolari rappresenta, quindi, un serio rischio per la sicurezza degli utenti online.