- Дослідники безпеки виявляють сотні фальшивих сторінок Reddit та Wetransfer
- Вони використовуються в вишуканій схемі для розгортання крадіжки Lumma
- Сторінки добре побудовані та, ймовірно, розповсюджені через отруєння SEO та зловмисних цільових сторінок
Там є сотні фальшивих веб -сайтів Reddit та Wetransfer, які розроблені для того, щоб обдурити людей завантажувати та запускати зловмисне програмне забезпечення Lumma Spealer, попередили експерти.
Дослідники з кібербезпеки з Sekoia поділилися повним списком сторінок на Github, що включає 59 підроблених сторінок Reddit та 407 підроблених сторінок Wetransfer.
Тактика проста: на сторінці Fake Reddit відображається нитка, в якій людина запитує допомогу в пошуку конкретної частини програмного забезпечення. Одна з відповідей поділяє посилання на підроблену сторінку Wetransfer, де можна завантажити інструмент. Інші люди в нитці діляться подякою за внесок, і дискусія триває.
Орієнтація на криміналістичних аналітиків
Дослідники не могли напевно сказати, як жертви опиняються на цих сторінках, але можна з упевненістю припустити, що є невелике отруєння SEO, шкідливі цільові сторінки або миттєве спілкування обміну повідомленнями.
Вибір підробленого програмного забезпечення також цікавий. Зазвичай саме там дослідники могли знайти підказки щодо того, хто є цілями. Якщо зловмисники підробляють інструменти розробки програмного забезпечення, цілі – це розробники. Якщо вони підробляють ігри, криптовалюти або клієнти розбратів, цілі – це роздрібні покупці в просторі Web3.
У прикладі, якими поділився дослідники SEKOIA, зловмисники пішли на опікуючий Encase Corensic – інструмент, що використовується для сканування, збирання та забезпечення криміналістичних даних для правоохоронних органів, урядового агентства та корпоративних розслідувань. Це не зовсім програмне забезпечення.
І сторінки Reddit, і Wetransfer були розроблені так, щоб виглядати майже ідентично оригіналам. Обидва їх URL -адреси містять торгові марки, а потім випадкові числа та символи. Вони обидва на доменах .org та .net верхнього рівня, що ще більше підвищує їх легітимність.
Однак натискання кнопки завантаження на Wetransfer One веде до Lumma Stealer, розміщеного на “WAISCOBBWEO[.]вгорі. “
Через Комп'ютер, що випитує