网络安全研究人员发现,超过1000个恶意域名正在仿冒Reddit和WeTransfer等知名平台,用于传播恶意软件,其中主要涉及近年来流行的Lumma Stealer窃密木马。凸显了网络犯罪分子日益增长的复杂性,他们利用受信任品牌来欺骗用户下载恶意软件。
Lumma Stealer于2022年首次出现,是一种强大的信息窃取工具,专门从受感染的系统中窃取敏感数据。针对的信息范围广泛,包括密码、加密货币钱包信息和浏览器数据等。
Sekoia的安全分析师crep1x指出,这种恶意软件采用“恶意软件即服务”(MaaS)模式,使它能够被更广泛的网络犯罪分子利用,针对毫无戒备的用户发起攻击。
攻击分析
这些恶意域名与合法URL极为相似,例如:
- hxxps://reddit-15.gmvr.org/topic/inxcuh?engine=opentext+encase+forensic
- hxxps://wettransfer80.tynd.org/file/abbstd
虚假网页(来源:X)
这些域名经过精心设计,看起来非常真实,甚至配备了有效的SSL证书,误导用户认为他们正在访问安全的网站。这种策略利用了用户对“安全连接”锁标志的信任。网络安全专家警告称,这种方法大大增加了用户成为网络钓鱼攻击受害者的可能性。
Lumma Stealer采用多种技术来执行恶意负载。一种常见的方法是在钓鱼网站上托管虚假的CAPTCHA页面,诱使用户执行PowerShell脚本以下载恶意软件到其设备上。一旦安装,Lumma Stealer会通过HTTP POST请求与命令与控制(C2)服务器通信,以窃取数据。该恶意软件能够扫描包含敏感信息的特定文件,例如与加密货币钱包和密码相关的文件。
攻击趋势与应对措施
这些恶意域名的增加反映了一种更广泛的趋势,即攻击者利用知名平台的声誉。例如,网络钓鱼活动通常采用社会工程学策略,通过发送包含链接的电子邮件,将用户引导至这些欺诈网站。用户可能会收到看似合法的通知,但最终会被重定向到恶意域名。
此外,攻击者利用内容分发网络(CDN)托管这些钓鱼网站,以绕过传统的安全措施。通过利用知名服务的基础设施,他们可以逃避检测并延长攻击的持续时间。
为应对这一日益增长的威胁,网络安全专家建议采取以下策略:
- 验证 URL:在输入敏感信息前,务必检查 URL 是否存在异常。
- 启用双因素认证(2FA):即使凭证被泄露,也能增加额外的安全层。
- 用户教育:开展关于网络钓鱼策略的宣传活动,帮助用户识别并避免潜在威胁。
参考链接:https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/
