Исследователи обнаружили сотни поддельных страниц Reddit и WeTransfer
- Эти страницы используются для распространения вредоносной программы Lumma Stealer.
- Поддельные страницы имеют высокое качество и, вероятно, продвигаются через SEO-подмену и вредоносные посадочные страницы.
Сотни фальшивых сайтов Reddit и WeTransfer созданы с целью обмана пользователей и установки у них на устройства вируса Lumma Stealer, предостерегают эксперты в области кибербезопасности.
Список поддельных страниц
Специалисты из компании Sekoia обнародовали полный список поддельных страниц на GitHub. В этом списке представлены 59 фальшивых страниц Reddit и 407 сайтов WeTransfer.
Схема обмана
Схема обмана проста: на фальшивых страницах Reddit якобы размещается обсуждение, где пользователи просят помощи в поиске определенного программного обеспечения. Один из «участников» дискуссии делится ссылкой на поддельную страницу WeTransfer, где якобы можно скачать нужный инструмент. Другие участники обсуждения выражают благодарность за помощь.
Целевая аудитория
Специалисты не могут уверенно сказать, как именно жертвы попадают на поддельные сайты, но можно предположить использование SEO-подмены, вредоносных посадочных страниц или моментальных сообщений.
Выбор поддельного ПО и его цель
Выбор поддельного программного обеспечения интересен и может указывать на потенциальные цели атаки. Если злоумышленники распространяют инструменты для разработки ПО, их целью могут быть разработчики. Если игры, криптокошельки или Discord-клиенты — то это розничные покупатели в сфере Web3. В приведенном Sekoia примере злоумышленники подделывали OpenText Encase Forensic — инструмент для сбора и анализа данных для правоохранительных органов и корпоративных расследований.
Внешний вид поддельных страниц
Обе фальшивые страницы, Reddit и WeTransfer, практически идентичны оригинальным версиям. URL-адреса содержат названия брендов и случайные символы. Страницы размещены на популярных доменах верхнего уровня .org и .net, что повышает их правдоподобие.
Итог
Любой пользователь, кликнувший на кнопку загрузки на поддельной странице WeTransfer, будет перенаправлен на сайт для загрузки Lumma Stealer, размещенный на «weighcobbweo[.]top».
Источник: TechRadar
