網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，超過1000個(gè)惡意域名正在仿冒Reddit和WeTransfer等知名平臺，用于傳播惡意軟件，其中主要涉及近年來流行的Lumma Stealer竊密木馬。凸顯了網(wǎng)絡(luò)犯罪分子日益增長的復(fù)雜性，他們利用受信任品牌來欺騙用戶下載惡意軟件。

Lumma Stealer于2022年首次出現(xiàn)，是一種強(qiáng)大的信息竊取工具，專門從受感染的系統(tǒng)中竊取敏感數(shù)據(jù)。針對的信息范圍廣泛，包括密碼、加密貨幣錢包信息和瀏覽器數(shù)據(jù)等。

Sekoia的安全分析師crep1x指出，這種惡意軟件采用“惡意軟件即服務(wù)”（MaaS）模式，使它能夠被更廣泛的網(wǎng)絡(luò)犯罪分子利用，針對毫無戒備的用戶發(fā)起攻擊。

攻擊分析

這些惡意域名與合法URL極為相似，例如：

• hxxps://reddit-15.gmvr.org/topic/inxcuh?engine=opentext+encase+forensic
• hxxps://wettransfer80.tynd.org/file/abbstd

虛假網(wǎng)頁（來源：X）

這些域名經(jīng)過精心設(shè)計(jì)，看起來非常真實(shí)，甚至配備了有效的SSL證書，誤導(dǎo)用戶認(rèn)為他們正在訪問安全的網(wǎng)站。這種策略利用了用戶對“安全連接”鎖標(biāo)志的信任。網(wǎng)絡(luò)安全專家警告稱，這種方法大大增加了用戶成為網(wǎng)絡(luò)釣魚攻擊受害者的可能性。

Lumma Stealer采用多種技術(shù)來執(zhí)行惡意負(fù)載。一種常見的方法是在釣魚網(wǎng)站上托管虛假的CAPTCHA頁面，誘使用戶執(zhí)行PowerShell腳本以下載惡意軟件到其設(shè)備上。一旦安裝，Lumma Stealer會通過HTTP POST請求與命令與控制（C2）服務(wù)器通信，以竊取數(shù)據(jù)。該惡意軟件能夠掃描包含敏感信息的特定文件，例如與加密貨幣錢包和密碼相關(guān)的文件。

攻擊趨勢與應(yīng)對措施

這些惡意域名的增加反映了一種更廣泛的趨勢，即攻擊者利用知名平臺的聲譽(yù)。例如，網(wǎng)絡(luò)釣魚活動(dòng)通常采用社會工程學(xué)策略，通過發(fā)送包含鏈接的電子郵件，將用戶引導(dǎo)至這些欺詐網(wǎng)站。用戶可能會收到看似合法的通知，但最終會被重定向到惡意域名。

此外，攻擊者利用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）托管這些釣魚網(wǎng)站，以繞過傳統(tǒng)的安全措施。通過利用知名服務(wù)的基礎(chǔ)設(shè)施，他們可以逃避檢測并延長攻擊的持續(xù)時(shí)間。

為應(yīng)對這一日益增長的威脅，網(wǎng)絡(luò)安全專家建議采取以下策略：

• 驗(yàn)證 URL：在輸入敏感信息前，務(wù)必檢查 URL 是否存在異常。
• 啟用雙因素認(rèn)證（2FA）：即使憑證被泄露，也能增加額外的安全層。
• 用戶教育：開展關(guān)于網(wǎng)絡(luò)釣魚策略的宣傳活動(dòng)，幫助用戶識別并避免潛在威脅。

參考鏈接：https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/