1,000 多个恶意域名模仿 Reddit 和 WeTransfer 来传播恶意软件

已发现超过 1,000 个恶意域名冒充 Reddit 和 WeTransfer 等流行平台来传播恶意软件，主要是臭名昭著的 Lumma Stealer。

这一令人担忧的趋势凸显了网络犯罪分子日益老练的手段，他们利用可信品牌欺骗用户，使用户在不知情的情况下下载有害软件。

Lumma Stealer恶意软件自 2022 年出现以来就一直受到关注，它是一种强大的信息窃取工具，旨在从受感染的系统中获取敏感数据。

它的目标是广泛的信息，包括密码、加密货币钱包详细信息和浏览器数据。

Sekoia 安全分析师 crep1x指出，该恶意软件采用恶意软件即服务 (MaaS) 模型运行，这使得更广泛的网络犯罪分子可以使用它，他们可以轻松地将其部署到毫无戒心的受害者身上。

攻击分析

恶意域名与合法 URL 非常相似，例如：

• hxxps://reddit-15.gmvr.org/topic/inxcuh?engine=opentext+encase+forensic

• hxxps://wettransfer80.tynd.org/file/abbstd

这些域名被精心设计，看上去很真实，而且通常具有有效的 SSL 证书，从而误导用户认为他们正在访问安全的网站。

这种策略利用了用户对表示安全连接的挂锁符号的信任。网络安全专家警告称，这种方法大大增加了用户成为网络钓鱼受害者的可能性。

Lumma Stealer 使用多种技术来执行其负载。一种常见的方法是在钓鱼网站上托管虚假的 CAPTCHA页面。

这些页面诱骗用户执行 PowerShell 脚本，从而将恶意软件下载到他们的设备上。安装后，Lumma Stealer 通过 HTTP POST 请求与命令和控制 (C2) 服务器通信，以窃取被盗数据。

该恶意软件能够扫描包含敏感信息的特定文件，例如与加密货币钱包和密码相关的文件。

这些恶意域名的增加表明了一种更广泛的趋势，即攻击者利用成熟平台的声誉。

例如，网络钓鱼活动通常利用社交工程策略，包括发送带有指向这些欺诈网站的链接的电子邮件。用户可能会收到看似合法的通知，但最终会将他们重定向到这些恶意域。

此外，使用 CDN 托管这些钓鱼网站可以让攻击者绕过传统的安全措施。通过利用信誉良好的服务的基础设施，他们可以逃避检测并延长攻击的持续时间。

为了应对这种日益严重的威胁，网络安全专家建议采取以下几种策略：

• 验证 URL：在输入敏感信息之前，务必检查 URL 是否存在差异。

• 启用双因素身份验证：即使凭证被泄露，也能增加额外的安全保障。

• 教育用户：有关网络钓鱼策略的宣传活动可以帮助用户识别和避免潜在威胁。

来源：https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/