Дослідник з компанії Sekoia виявив, що хакери використовують близько 1000 сторінок, що імітують Reddit і файлообмінний сервіс WeTransfer. Відвідування таких сайтів призводить до завантаження стілера Lumma.

Всі фальшиві сторінки, що імітують Reddit, побудовані за схожим принципом: нібито це гілка обговорення якоїсь конкретної проблеми. Зазвичай автор теми просить допомоги із завантаженням певного інструменту, а інший користувач пропонує допомогти, нібито завантажуючи потрібне програмне забезпечення на WeTransfer і публікуючи посилання. Щоб все виглядало більш правдоподібно, третій користувач дякує «доброму самаритянину».

Нічого не підозрюючи, користувачі, які перейшли за таким посиланням, потрапляють на фальшивий сайт WeTransfer, що імітує інтерфейс популярного файлообмінника. Кнопка «Завантажити» тут веде до завантаження корисного навантаження Lumma, розміщеного на сайті weighcobbweo[.]top.

Відзначимо, що практично одночасно з цим відкриттям дослідники з Netskope Threat Labs попередили, що стілер Lumma активно поширюється і за допомогою фальшивих CAPTCHA. Такі атаки відносяться до типу ClickFix (ClearFake або OneDrive Pastejacking), який останнім часом дуже популярний серед зловмисників.

Жертв заманюють на шахрайські сайти і обманом змушують виконувати шкідливі команди PowerShell, вручну заражаючи власну систему шкідливим ПЗ. Зазвичай зловмисники виправдовують необхідність виконання команд вирішенням проблем з відображенням контенту в браузері або вимагають, щоб користувач вирішив фальшиву CAPTCHA.