Sicherheitsforscher von Sekoia haben eine großangelegte Phishing-Kampagne aufgedeckt, bei der Cyberkriminelle mehr als 900 täuschend echt aussehende Kopien der populären Plattformen Reddit und WeTransfer nutzen, um den gefährlichen Lumma-Stealer zu verbreiten. Diese ausgeklügelte Angriffskampagne demonstriert die zunehmende Raffinesse moderner Cyber-Bedrohungen.
Anatomie der Phishing-Kampagne
Die Angreifer haben ein komplexes Netzwerk aus 529 gefälschten Reddit-Seiten und 407 WeTransfer-Imitationen aufgebaut. Auf den manipulierten Reddit-Seiten werden geschickt inszenierte technische Diskussionen präsentiert, in denen scheinbar authentische Nutzer Problemlösungen über WeTransfer-Links anbieten. Diese Social-Engineering-Taktik nutzt das Vertrauen der Nutzer in bekannte Plattformen aus.
Technische Charakteristika der Angriffskampagne
Die gefälschten Domains folgen einem erkennbaren Muster: Sie kombinieren die Namen der imitierten Marken mit zufälligen Zeichenfolgen und verwenden hauptsächlich die Top-Level-Domains .org und .net. Bei Klick auf die präparierten WeTransfer-Links erfolgt die automatische Weiterleitung zum Domain weighcobbweo[.]top, von wo der Lumma-Stealer heruntergeladen wird.
Verbreitungsmethoden und zusätzliche Angriffsstrategien
Die Kampagne nutzt multiple Verteilungswege, darunter Malvertising, SEO-Poisoning und Social-Media-Phishing. Parallel dazu wurde von Netskope Threat Labs eine weitere Verbreitungsvariante des Lumma-Stealers über gefälschte CAPTCHA-Systeme identifiziert, die als ClickFix-Attacken klassifiziert werden.
CAPTCHA-basierte Angriffsmethodik
Bei dieser Variante werden Nutzer durch Social Engineering dazu verleitet, schädliche PowerShell-Befehle unter dem Vorwand der CAPTCHA-Verifizierung oder Behebung von Darstellungsproblemen auszuführen. Diese als ClearFake oder OneDrive Pastejacking bekannte Methode gewinnt unter Cyberkriminellen zunehmend an Popularität.
Effektiver Schutz vor diesen hochentwickelten Phishing-Angriffen erfordert einen mehrschichtigen Sicherheitsansatz: Implementierung moderner Endpoint-Protection-Lösungen, regelmäßige Mitarbeiterschulungen zur Erkennung von Social-Engineering-Taktiken und strikte URL-Validierung vor dem Anklicken externer Links. Besondere Vorsicht ist bei der Ausführung von System-Commands geboten, selbst wenn diese als legitime Problemlösungen präsentiert werden. Die Verifizierung der Website-Authentizität durch Überprüfung der URL-Struktur und SSL-Zertifikate sollte zur Routine werden.
