Hackers usam sites falsos do Reddit e WeTransfer para espalhar malware e roubar dados

Hackers estão distribuindo quase 1.000 páginas da web que imitam o Reddit e o serviço de compartilhamento de arquivos WeTransfer para disseminar o malware Lumma Stealer.

Nas páginas falsas, os hackers utilizam a marca Reddit de forma enganosa ao exibir uma suposta discussão sobre um tema específico. O criador do tópico pede ajuda para baixar uma ferramenta, outro usuário finge ajudar ao disponibilizá-la no WeTransfer e compartilha um link, enquanto um terceiro agradece, simulando um ambiente legítimo.

As vítimas que clicam no link são redirecionadas para um site falso do WeTransfer, que imita a interface do serviço real. O botão “Download” leva à carga maliciosa do Lumma Stealer hospedada no domínio “weighcobbweo[.]top”.

Todos os sites utilizados nessa campanha incluem uma string com o nome da marca que imitam, seguida de números e caracteres aleatórios, para parecerem legítimos à primeira vista. Os domínios de topo usados são geralmente ".org" ou ".net".

Esses sites falsos foram descobertos pelo pesquisador crep1x da Sekoia, que compartilhou uma lista completa das páginas envolvidas no esquema. No total, foram identificadas 529 páginas imitando o Reddit e 407 simulando o serviço oficial do WeTransfer.

O pesquisador informou que não conseguiu obter detalhes sobre os estágios iniciais da cadeia de infecção, mas os tópicos específicos usados nas páginas indicam algum grau de sofisticação. É provável que o ataque comece por meio de malvertising (publicidade maliciosa), SEO poisoning (manipulação de resultados de busca), sites maliciosos, mensagens diretas em redes sociais ou outros métodos.

Há cerca de um ano, o mesmo pesquisador identificou uma campanha semelhante com 1.300 sites falsos explorando a marca AnyDesk para disseminar o malware Vidar Stealer.

O Lumma Stealer é uma ferramenta poderosa, com mecanismos avançados de evasão e roubo de dados. Ele é comercializado para hackers que o distribuem por diversos meios, como comentários no GitHub, sites geradores de deepfakes e malvertising.

Malwares desse tipo têm a capacidade de coletar senhas armazenadas em navegadores e tokens de sessão que podem ser usados para sequestrar contas, sem a necessidade de credenciais.

Essas ameaças são frequentemente utilizadas para exfiltrar dados confidenciais de empresas, que são vendidos em fóruns de hackers. Recentemente, infostealers permitiram ataques de grande impacto contra organizações como PowerSchool, HotTopic, CircleCI e Snowflake.

Via - BB