冒名顶替网站传播 Lumma Stealer 恶意软件

关键要点

• 近1000个伪造的 Reddit 和 WeTransfer 页面 正被用来传播 Lumma Stealer 恶意软件 。
• 这些伪造页面与真实的网站几乎一模一样，利用了用户的信任。
• Victims are tricked into downloading an archive that installs malware on their device.

本周，Sekoia.io 的研究人员发现，近1000个伪造的 Reddit 和 WeTransfer 网页被用来传播 Lumma Stealer恶意软件 。Sekoia 的首席网络犯罪分析师 crep1x 在社交媒体上发布了伪造页面的截图，并分享了一份完整的钓鱼域名列表。

伪造页面特点

这些网页的外观与合法的 Reddit 和 WeTransfer用户界面几乎相同，所有域名均包含“reddit”或“wetransfer”，后面跟有一两个数字和四个随机字母。所有页面的顶级域名都是 .pw、.net 或 .org。

伪造的 Reddit 页面通过模拟真实对话吸引用户，其中一名用户请求帮助寻找某个软件，另有用户回复并提供 WeTransfer下载链接。随后，初始用户表示感谢。

下载并感染

在 crep1x 分享的截图中，伪造页面模拟了 r/techsupport 子版块的帖子，该版块在合法的 Reddit网站上拥有超过300万名成员。WeTransfer 的下载链接会引导目标用户进入一个伪装的 WeTransfer页面，在那里，用户可以下载一个声称是软件的密码保护压缩文件。

然而，该压缩文件实际上包含一个名为 SelfAU3 的 AutoIT 滥用程序，这个程序会执行 Lumma 信息窃取器，crep1x 表示。

钓鱼链接传播方式

该研究人员在社交媒体上回复表示，尚不清楚这些钓鱼链接是如何传播的，可能的途径包括SEO中毒、恶意广告和在其他网站上发布链接。

另一名研究人员 nhegde610 在去年12月底就发现了这个钓鱼活动，但未能访问和安装恶意软件负载。nhegde610 发布的截图显示，伪造的 Reddit 页面源自一个 Google Colab 笔记本，并出现在 Google 搜索结果中。

钓鱼网站的特征

Crep1x 指出，这些恶意网站会检查用户是否使用的是 Windows 操作系统，并且是否拥有住宅 IP 地址，然后再将他们重定向到伪造的 WeTransfer 网站。

伪造和假冒可信网站是网络犯罪分子常用的策略；在 2023 年，crep1x 发现过一个类似的活动，涉及超过1300个模仿 AnyDesk 网站的域名，导致了 Vidar 信息窃取器的安装。

其他恶意活动

在 2023 年，Malwarebytes 的高级威胁情报总监 Jérôme Segura 发现的另一项活动中，利用一个非常逼真的 Bitwarden网站假冒域名 bitwariden.com 来传播一种称为 ZenRAT 的远程访问特洛伊木马。

Lumma Stealer，也称为 LummaC2，是一种流行的恶意软件即服务（MaaS）解决方案，能够窃取敏感信息，如凭证、Cookies和加密货币钱包细节。根据 SpyCloud 的《2024 年恶意软件和勒索软件防御报告》，Lumma 是在勒索软件攻击之前最常见的信息窃取器。