Falsi siti di Reddit distribuiscono Lumma Stealer

Falsi siti di Reddit distribuiscono Lumma Stealer

Ignoti cybercriminali hanno creato falsi siti di Reddit e WeTransfer per pubblicare discussioni e distribuire archivi ZIP contenenti Lumma Stealer.
Falsi siti di Reddit distribuiscono Lumma Stealer
Ignoti cybercriminali hanno creato falsi siti di Reddit e WeTransfer per pubblicare discussioni e distribuire archivi ZIP contenenti Lumma Stealer.

Un ricercatore di Sekoia ha scoperto oltre 500 siti falsi di Reddit sono stati utilizzati per distribuire il noto Lumma Stealer. I cybercriminali creano discussioni e condividono link ad un archivio ospitato su siti falsi di WeTransfer. Il malware può rubare numerosi dati dal computer, tra cui le password dai principali browser.

Attenzione ai siti fake di Reddit

Il ricercatore di Sekoia non ha individuato il primo step della catena di infezione, ovvero come sono state pubblicizzate le discussioni sulle versioni fasulle di Reddit. Probabilmente l’attacco è iniziato con il malvertising o il SEO poisoning sui motori di ricerca e la condivisione di post sui social media.

L’interfaccia dei siti è praticamente identica all’originale. L’unica differenza è (ovviamente) rappresentata dall’URL. Il nome del servizio è seguito da numeri e caratteri casuali, mentre il TLD (Top Level Domain) è .org o .net. Il nome di dominio ufficiale è reddit.com. Il ricercatore ha individuato 529 siti fasulli.

Il “trucco” usato dai cybercriminali è piuttosto semplice. Uno di essi apre una discussione (ad esempio nel subreddit r/techsupport) e chiede aiuto per scaricare uno specifico tool. Un complice risponde con il link ad un archivio ospitato su WeTransfer e protetto da una password. L’autore della discussione pubblica quindi un post di ringraziamento.

La vittima che clicca sul link vedrà un sito fake di WeTransfer. Anche in questo caso, l’interfaccia è praticamene identica, ma l’URL contiene numeri e lettere causali. Il ricercatore ha identificato 407 domini fasulli. All’interno dell’archivio ZIP da 2,45 MB è nascosto un dropper che scarica Lumma Stealer sul computer.

Si tratta di uno degli infostealer più diffusi e pericolosi. Può raccogliere numerose informazioni sensibili, tra cui le password salvate nei principali browser e i token di sessione. Questi ultimi permettono di prendere il controllo degli account senza conoscere le credenziali di login. Il malware può anche accedere ai wallet di criptovalute e alle estensioni usate per l’autenticazione in due fattori.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
27 gen 2025
Link copiato negli appunti