ハッカーは、Lumma StealerマルウェアのダウンロードにつながるRedditとWeTransferファイル共有サービスを模倣したウェブページを1,000近く配布している。
偽のページでは、特定のトピックに関する偽のディスカッション・スレッドを表示し、Redditのブランドを悪用しています。スレッドの作成者は、特定のツールをダウンロードする手助けを求め、別のユーザーはそれをWeTransferにアップロードしてリンクを共有することで手助けすることを提案し、3人目はすべてを合法的に見せるために彼に感謝します。
ソースは こちら:
疑うことなくリンクをクリックした被害者は、人気のファイル共有サービスのインターフェイスを模倣した偽のWeTransferサイトに誘導される。ダウンロード」ボタンは、”weighcobbweo[.]top. “にホストされているLumma Stealerペイロードにつながります。
このキャンペーンで使用されているすべてのサイトには、なりすましたブランドの文字列の後にランダムな数字や文字が続き、ぱっと見で合法的に見えるようになっています。トップレベル・ドメインは”.org “か”.net “である。
キャンペーンに参加するすべてのサイトには、なりすましたブランドの文字列の後にランダムな数字や文字が続き、一見して合法的に見えるようになっている。トップレベル・ドメインは「.org」か「.net」である。
ソースは こちら:
これらの偽ウェブサイトはセコイアのリサーチャーcrep1xによって発見され、スキームに参加しているウェブページの完全なリストを共有した。合計で529ページがRedditを、407ページがダウンロードを提供する公式WeTransferサービスを装っている。
研究者は、感染連鎖の前段階に関する手がかりは得られなかったと語ったが、使用されている特定のトピックは、何らかの形で手の込んだものであることを示している。
攻撃は、不正広告、SEOポイズニング、悪意のあるウェブサイト、ソーシャルメディア上のダイレクトメッセージ、および他の手段で始まる可能性があります。
1年前、同じリサーチャーは、1,300のサイトがAnyDeskブランドを悪用してVidar Stealerマルウェアをプッシュする同様のキャンペーンを発見しました。
情報窃取マルウェアのリスク
Lumma Stealerは、高度な回避と データ窃盗のメカニズムを備えた強力なツールです。このマルウェアはハッカーに販売され、GitHubのコメント、deepfakeヌード生成サイト、malvertisingなど、さまざまな方法で配布されます。
情報窃取マルウェアは、ウェブブラウザに保存されているパスワードや、認証情報を知らずにアカウントを乗っ取るために使用できるセッショントークンなどを収集することができる。
この種の脅威は、一般的に企業から機密ログインデータを流出させるために使用され、その詳細は通常ハッカーフォーラムで販売される。
最近では、InfostealerがPowerSchool、HotTopic、CircleCI、Snowflakeに対するインパクトの大きい攻撃を可能にした。
Comments