Специалисты компании Sekoia выявили масштабную фишинговую кампанию, в рамках которой киберпреступники используют около тысячи поддельных веб-страниц, имитирующих популярные сервисы Reddit и WeTransfer. Конечной целью атаки является распространение опасного программного обеспечения для кражи данных — стилера Lumma.
Механика фишинговой атаки
Злоумышленники создали 529 поддельных страниц Reddit и 407 имитаций WeTransfer, используя продуманную социальную инженерию. На фальшивых страницах Reddit размещаются правдоподобные обсуждения технических проблем, где один пользователь запрашивает помощь, второй предоставляет ссылку на якобы решение через WeTransfer, а третий подтверждает эффективность предложенного метода.
Технические особенности фишинговых ресурсов
Исследователи отмечают характерные признаки вредоносных сайтов: все домены содержат название имитируемого бренда и случайный набор символов, преимущественно используются доменные зоны .org и .net. При переходе по ссылке на поддельный WeTransfer происходит загрузка стилера Lumma с домена weighcobbweo[.]top.
Методы распространения и дополнительные векторы атаки
По данным Bleeping Computer, злоумышленники используют различные каналы для привлечения жертв: вредоносную рекламу, манипуляции с SEO, фишинговые рассылки в социальных сетях и мессенджерах. Параллельно исследователи из Netskope Threat Labs зафиксировали распространение Lumma через поддельные CAPTCHA в рамках атак типа ClickFix.
Особенности атак через CAPTCHA
Киберпреступники используют социальную инженерию, чтобы заставить пользователей самостоятельно выполнить вредоносные команды PowerShell под предлогом решения проблем с отображением контента или прохождения проверки CAPTCHA. Такой метод, известный также как ClearFake или OneDrive Pastejacking, получил широкое распространение среди злоумышленников.
Для защиты от подобных атак специалисты рекомендуют проявлять повышенную бдительность при переходе по внешним ссылкам, использовать современные средства антивирусной защиты и не выполнять подозрительные команды в системе, даже если они преподносятся как решение технических проблем. Критически важно проверять подлинность посещаемых веб-ресурсов и не доверять случайным ссылкам, даже если они кажутся размещенными на надежных платформах.
