หน้าเว็บของ Reddit และ WeTransfer ถูกปลอมในแคมเปญของ Lumma Stealer

นักวิจัยจาก Sekoia.io รายงานในสัปดาห์นี้ว่า มีหน้าเว็บปลอมเกือบ 1,000 หน้า ของ Reddit และ WeTransfer ที่ถูกใช้ในการแพร่กระจายมัลแวร์ Lumma Stealer

นักวิเคราะห์อาชญากรรมไซเบอร์ของ Sekoia ชื่อ 'crep1x' ได้โพสต์ภาพหน้าจอของหน้าเว็บปลอมของ Reddit และ WeTransfer บน X เมื่อวันจันทร์ที่ผ่านมา (20 มกราคม 2025) และยังได้แชร์รายชื่อโดเมนฟิชชิงทั้งหมดอีกด้วย

หน้าเว็บเหล่านี้เหมือนกับอินเตอร์เฟซของ Reddit และ WeTransfer ทุกโดเมนมีคำว่า "reddit" หรือ "wetransfer" ตามด้วยตัวเลขหนึ่ง หรือสองหลัก และตัวอักษรสี่ตัวแบบสุ่ม โดยโดเมนหลักของทุกหน้าจะเป็น .pw, .net หรือ .org

หน้าเว็บปลอมของ Reddit ถูกออกแบบมาเพื่อเลียนแบบการสนทนาที่ดูเหมือนจริง โดยที่ผู้ใช้งานคนหนึ่งขอความช่วยเหลือในการหาซอฟต์แวร์บางตัว และผู้ใช้งานคนอื่นตอบกลับด้วยลิงก์ไปยังหน้า WeTransfer ที่สามารถดาวน์โหลดซอฟต์แวร์นั้นได้ จากนั้นผู้ใช้งานคนแรกก็ขอบคุณผู้ใช้คนที่ช่วยเหลือ

ในภาพหน้าจอที่ crep1x แชร์ หน้าเว็บปลอมเลียนแบบโพสต์ใน subreddit r/techsupport ซึ่งมีสมาชิกมากกว่า 3 ล้านคนในเว็บไซต์ Reddit ที่ถูกต้อง

ลิงก์ดาวน์โหลด WeTransfer นำไปยังหน้า WeTransfer ปลอม ซึ่งผู้ใช้เป้าหมายสามารถดาวน์โหลดไฟล์ archive ที่มีรหัสผ่านซึ่งอ้างว่าเป็นซอฟต์แวร์ที่ถูกระบุถึงในบทสนทนาปลอมบน Reddit

อย่างไรก็ตาม ไฟล์ archive ดังกล่าวจริง ๆ แล้วมี AutoIT dropper ที่รู้จักกันในชื่อ SelfAU3 ซึ่งจะทำการเรียกใช้งานมัลแวร์ Lumma infostealer ตามที่ crep1x ระบุ

นักวิจัยตอบกลับบน X ว่าพวกเขายังไม่แน่ใจว่าลิงก์ฟิชชิ่งเหล่านี้แพร่กระจายอย่างไร แม้ว่าจะมีความเป็นไปได้หลายทาง เช่น การโจมตีแบบ SEO poisoning, การโฆษณามัลแวร์ (malvertising) และการโพสต์ลิงก์เหล่านี้บนเว็บไซต์อื่น ๆ

นักวิจัยอีกคน 'nhegde610' ได้ค้นพบแคมเปญนี้ในปลายเดือนธันวาคมตามโพสต์ใน X แต่ไม่สามารถเข้าถึง และติดตั้งแพย์โหลดได้ ภาพหน้าจอที่โพสต์โดย nhegde610 แสดงให้เห็นว่าหน้า Reddit ปลอมมาจาก Google Colab notebook ซึ่งปรากฏในผลการค้นหาของ Google

Crep1x ตั้งข้อสังเกตว่าเว็บไซต์ที่เป็นอันตรายจะตรวจสอบว่าเหยื่อกำลังใช้ Windows หรือไม่ และ IP address ของผู้ใช้งาน ก่อนจะเปลี่ยนเส้นทางไปยังหน้า WeTransfer ปลอม

การปลอมแปลง และการแอบอ้างเป็นเว็บไซต์ที่น่าเชื่อถือเป็นกลยุทธ์ที่พบได้บ่อยในหมู่ผู้ไม่หวังดี crep1x พบแคมเปญที่คล้ายกันในปี 2023 ซึ่งเกี่ยวข้องกับโดเมนมากกว่า 1,300 รายการที่ปลอมเป็นเว็บไซต์ AnyDesk และนำไปสู่การติดตั้งมัลแวร์ Vidar infostealer

ในอีกแคมเปญหนึ่งที่ค้นพบโดย Jérôme Segura, Senior Director of Threat Intelligence จาก Malwarebytes ในปี 2023 เว็บไซต์ที่ปลอมเป็น Bitwarden โดยใช้โดเมนที่มีการพิมพ์ผิด bitwariden[.]com ถูกใช้ในการแพร่กระจายโทรจันควบคุมจากระยะไกลที่ชื่อว่า ZenRAT

Lumma Stealer หรือที่รู้จักในชื่อ LummaC2 เป็นมัลแวร์ประเภท Malware-as-a-Service (MaaS) ที่ได้รับความนิยม ซึ่งสามารถขโมยข้อมูลที่สำคัญ เช่น ข้อมูลรับรองการเข้าสู่ระบบ, คุกกี้ และรายละเอียดกระเป๋าเงินคริปโตเคอเรนซี ตามรายงานการป้องกันมัลแวร์ และแรนซัมแวร์ปี 2024 ของ SpyCloud, Lumma เป็น infostealer ที่พบมากที่สุดก่อนการโจมตีแรนซัมแวร์

ที่มา : scworld