Bilgisayar korsanları, Lumma Stealer kötü amaçlı yazılımının indirilmesine yol açan Reddit ve WeTransfer dosya paylaşım hizmetini taklit eden 1000’e yakın web sayfası dağıtıyor.
Sahte sayfalarda tehdit aktörü, belirli bir konuyla ilgili sahte bir tartışma başlığı göstererek Reddit markasını kötüye kullanıyor. Konuyu oluşturan kişi belirli bir aracı indirmek için yardım ister, başka bir kullanıcı WeTransfer’e yükleyerek ve bağlantıyı paylaşarak yardım etmeyi teklif eder ve üçüncüsü her şeyin meşru görünmesini sağladığı için ona teşekkür eder.
Kaynak: BleepingComputer
Bağlantıya tıklayan şüphelenmeyen kurbanlar, popüler dosya paylaşım hizmetinin arayüzünü taklit eden sahte bir WeTransfer sitesine yönlendiriliyor. ‘İndir’ düğmesi, “weighcobbweo”da barındırılan Lumma Stealer verisine yönlendirir[.]tepe.”
Bu kampanyada kullanılan tüm siteler, hızlı bir bakışta meşru görünmek için taklit ettikleri markanın bir dizesini ve ardından rastgele sayılar ve karakterleri içerir. Üst düzey alan adları “.org” veya “.net”tir.
Kampanyanın bir parçası olan tüm siteler, hızlı bir bakışta meşru görünmek için taklit ettikleri markanın bir dizesini ve ardından rastgele sayılar ve karakterleri içerir. Üst düzey alan adları “.org” veya “.net”tir.
Kaynak: BleepingComputer
Bu sahte web siteleri, plana katılan web sayfalarının tam listesini paylaşan Sekoia araştırmacısı crep1x tarafından bulundu. Toplamda Reddit’i taklit eden 529 sayfa ve indirme hizmeti veren resmi WeTransfer hizmeti gibi görünen 407 sayfa var.
Araştırmacı, BleepingComputer’a enfeksiyon zincirinin önceki aşamaları hakkında herhangi bir ipucu alamadığını ancak kullanılan spesifik konuların bir tür detaylandırmaya işaret ettiğini söyledi.
Saldırı, kötü amaçlı reklamcılık, SEO zehirlenmesi, kötü amaçlı web siteleri, sosyal medyadaki doğrudan mesajlar ve diğer yollarla başlayabilir.
Bir yıl önce aynı araştırmacı, 1.300 sitenin Vidar Stealer kötü amaçlı yazılımını yaymak için AnyDesk markasını kötüye kullandığı benzer bir kampanyayı keşfetti.
Bilgi hırsızı kötü amaçlı yazılım riski
Lumma Stealer, gelişmiş kaçırma ve veri hırsızlığı mekanizmalarına sahip güçlü bir araçtır. Kötü amaçlı yazılım, onu GitHub yorumları, derin sahte çıplaklık oluşturma siteleri ve kötü amaçlı reklamcılık dahil olmak üzere çeşitli yöntemlerle dağıtan bilgisayar korsanlarına satılıyor.
Bilgi hırsızlığı yapan kötü amaçlı yazılımlar, diğer şeylerin yanı sıra, web tarayıcılarında saklanan şifreleri ve kimlik bilgilerini bilmeden hesapları ele geçirmek için kullanılabilecek oturum belirteçlerini toplayabilir.
Bu tür tehditler genellikle hassas oturum açma verilerini şirketlerden sızdırmak için kullanılır ve ayrıntılar genellikle bilgisayar korsanı forumlarında satılır.
Son zamanlarda bilgi hırsızları PowerSchool, HotTopic, CircleCI ve Snowflake’e yüksek etkili saldırılar gerçekleştirdi.