Tin tặc đã tạo ra gần 1.000 trang web giả mạo thương hiệu Reddit và WeTransfer để lừa người dùng tải xuống malware Lumma Stealer. Các trang này hiển thị chủ đề thảo luận giả trên Reddit, nơi một người dùng hỏi cách tải công cụ, người khác cung cấp liên kết từ WeTransfer, và một người thứ ba cảm ơn để tăng tính hợp pháp.
Khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển đến một trang WeTransfer giả mạo có giao diện giống thật. Tuy nhiên, nút tải xuống trên trang này lại dẫn đến payload của Lumma Stealer, được lưu trữ trên một domain độc hại.
Nhà nghiên cứu từ Sekoia, crep1x, đã phát hiện 529 trang giả mạo Reddit và 407 trang WeTransfer trong chiến dịch này. Mặc dù chưa xác định rõ cách thức phát tán ban đầu, tin tặc có thể sử dụng các phương pháp như quảng cáo độc hại (malvertising), SEO poisoning, hoặc tin nhắn trên mạng xã hội.
Lumma Stealer là loại malware mạnh mẽ, chuyên thu thập thông tin nhạy cảm như mật khẩu lưu trên trình duyệt và token phiên làm việc. Những dữ liệu này thường được bán trên các diễn đàn hacker hoặc sử dụng để tấn công các công ty, điển hình là các vụ tấn công vào PowerSchool, HotTopic, CircleCI và Snowflake gần đây.
