Quase 1.000 sites falsos do Reddit e WeTransfer disseminam malware Lumma Stealer

Uma nova campanha de disseminação de malware está utilizando páginas falsas do Reddit e do WeTransfer para espalhar o Lumma Stealer, uma ferramenta avançada de roubo de dados.

Em um exemplo de página falsa do Reddit, o cibercriminoso cria um tópico de discussão sobre um tema específico. No tópico, um usuário solicita ajuda para baixar uma ferramenta, outro se oferece para compartilhar o arquivo por meio do WeTransfer e disponibiliza um link, enquanto um terceiro agradece, conferindo credibilidade à interação. Vítimas desavisadas que clicam no link são redirecionadas a um site falso do WeTransfer, que replica a interface oficial do serviço. O botão de “Download” leva ao payload do Lumma Stealer.

Os sites utilizados na campanha incluem a marca imitada no domínio, seguida por números e caracteres aleatórios, simulando legitimidade em uma análise superficial. Os domínios de nível superior mais usados são “.org” e “.net”. Ao todo, foram identificadas 529 páginas falsas do Reddit e 407 páginas do WeTransfer, todas projetadas para distribuir o malware. A campanha maliciosa é promovida por métodos como malvertising, envenenamento de SEO, sites fraudulentos e mensagens diretas em redes sociais.

O Lumma Stealer é conhecido por sua capacidade de evasão e roubo de informações sensíveis. O malware é vendido para hackers, que o distribuem por diversos meios, incluindo comentários em repositórios do GitHub, sites de geração de imagens deepfake e campanhas de malvertising. Este tipo de ataque é frequentemente empregado para roubar credenciais corporativas, que posteriormente são comercializadas em fóruns de hackers.