Bleepingcomputer mới đây đưa tin, tổ chức an ninh mạng Sekoia đã phát hiện ra 529 trang mạo danh Reedit và 407 trang giả mạo WeTransfer để phát tán mã độc Lumma Stealer. Để dẫn dụ các nạn nhân, tội phạm mạng thường tạo ra những website có tên miền tương tự Reddit hoặc WeTransfer bằng cách sử dụng kết hợp các số và ký tự ngẫu nhiên, tên thương hiệu và kết thúc bằng tên miền .org hoặc .net. Tất cả đều được thiết kế, trình bày giống hệt với Reddit và WeTransfer, tuy nhiên liên kết tải xuống trên các website, topic giả mạo đều sẽ dẫn đến mã độc Lumma Stealer.
Không những vậy, để đánh lừa người dùng, chúng sẽ tạo ra những topic thảo luận giả mạo Reddit. Trong đó, khi người dùng (thậm chí chính những kẻ đứng sau mồi chài) hỏi về một phần mềm cụ thể, hacker trong vai thành viên đóng góp sẽ đăng liên kết đến trang WeTransfer giả, nơi chứa mã độc được ngụy trang dưới dạng phần mềm hợp pháp.
Vì sự phổ biến và uy tín của Reddit với cộng đồng mạng, khi thấy các website có thiết kế tương tự, người dùng dễ lầm tưởng và cả tin nghe theo. Nếu nhấp vào liên kết giả mạo dẫn đến website có chứa mã độc, Lumma Stealer sẽ xâm nhập vào thiết bị và đánh cắp các thông tin, dữ liệu quan trọng của người dùng.
Đáng lo ngại khi phần mềm giả mạo được sử dụng trong chiến dịch này là loại OpenText Encase Forensic, một công cụ chuyên dụng cho phân tích kỹ thuật số. Các chuyên gia e ngại rằng chiến dịch tấn công này có thể đang nhắm mục tiêu vào các cơ quan thực thi pháp luật, chuyên gia an ninh mạng hoặc doanh nghiệp.
Hiện tại Sekoia đã công bố danh sách các trang web giả mạo trên GitHub để người dùng cảnh giác, tham khảo tại địa chỉ tinyurl.com/fakeredditsites.
Lumma Stealer là một dạng phần mềm độc hại này có khả năng đánh cắp thông tin nhạy cảm như mật khẩu, dữ liệu tài chính và thông tin cá nhân của người dùng. Trước đó, tháng 11/2024, tổ chức an ninh mạng CyberPress cũng đã phát hiện chiến dịch phát tán mã độc Lumma Stealer đã lan rộng ở nhiều quốc gia, đặc biệt là ở Ấn Độ, Mỹ và châu Âu. Mã độc này được phát hiện qua các nền tảng như Telegram, gây lo ngại cho người dùng về an ninh mạng. Đặc biệt, hai kênh Telegram liên quan đến việc phát tán mã độc được xác định là “hitbase” (với 42.000 người theo dõi) và “sharmamod” (8.660 người theo dõi). Các kênh này được phát hiện gửi tin nhắn qua lại để mở rộng phạm vi phát tán.
Theo các chuyên gia an ninh mạng, để tránh trở thành nạn nhân của chiến dịch lừa đảo này, mọi người cần cảnh giác với các liên kết tải xuống phần mềm từ các nguồn không rõ ràng, đặc biệt là trên mạng xã hội và luôn kiểm tra kỹ địa chỉ URL trước khi nhấp vào liên kết.