網絡安全研究人員發現，超過1000個惡意域名正在仿冒Reddit和WeTransfer等知名平臺，用于傳播惡意軟件，其中主要涉及近年來流行的Lumma Stealer竊密木馬。凸顯了網絡犯罪分子日益增長的復雜性，他們利用受信任品牌來欺騙用戶下載惡意軟件。

Lumma Stealer于2022年首次出現，是一種強大的信息竊取工具，專門從受感染的系統中竊取敏感數據。針對的信息范圍廣泛，包括密碼、加密貨幣錢包信息和瀏覽器數據等。

Sekoia的安全分析師crep1x指出，這種惡意軟件采用“惡意軟件即服務”（MaaS）模式，使它能夠被更廣泛的網絡犯罪分子利用，針對毫無戒備的用戶發起攻擊。

攻擊分析

這些惡意域名與合法URL極為相似，例如：

• hxxps://reddit-15.gmvr.org/topic/inxcuh?engine=opentext+encase+forensic
• hxxps://wettransfer80.tynd.org/file/abbstd

虛假網頁（來源：X）

這些域名經過精心設計，看起來非常真實，甚至配備了有效的SSL證書，誤導用戶認為他們正在訪問安全的網站。這種策略利用了用戶對“安全連接”鎖標志的信任。網絡安全專家警告稱，這種方法大大增加了用戶成為網絡釣魚攻擊受害者的可能性。

Lumma Stealer采用多種技術來執行惡意負載。一種常見的方法是在釣魚網站上托管虛假的CAPTCHA頁面，誘使用戶執行PowerShell腳本以下載惡意軟件到其設備上。一旦安裝，Lumma Stealer會通過HTTP POST請求與命令與控制（C2）服務器通信，以竊取數據。該惡意軟件能夠掃描包含敏感信息的特定文件，例如與加密貨幣錢包和密碼相關的文件。

攻擊趨勢與應對措施

這些惡意域名的增加反映了一種更廣泛的趨勢，即攻擊者利用知名平臺的聲譽。例如，網絡釣魚活動通常采用社會工程學策略，通過發送包含鏈接的電子郵件，將用戶引導至這些欺詐網站。用戶可能會收到看似合法的通知，但最終會被重定向到惡意域名。

此外，攻擊者利用內容分發網絡（CDN）托管這些釣魚網站，以繞過傳統的安全措施。通過利用知名服務的基礎設施，他們可以逃避檢測并延長攻擊的持續時間。

為應對這一日益增長的威脅，網絡安全專家建議采取以下策略：

• 驗證 URL：在輸入敏感信息前，務必檢查 URL 是否存在異常。
• 啟用雙因素認證（2FA）：即使憑證被泄露，也能增加額外的安全層。
• 用戶教育：開展關于網絡釣魚策略的宣傳活動，幫助用戶識別并避免潛在威脅。

參考鏈接：https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/