Ciberataque masivo: 1.000 páginas falsas de Reddit y WeTransfer

Los piratas informáticos han lanzado una campaña de suplantación de identidad (phishing) con más de 1.000 sitios web falsos que imitan a Reddit y WeTransfer. Estos portales fraudulentos conducen a la descarga del peligroso malware Lumma Stealer, diseñado para robar credenciales y datos confidenciales.

Cómo funciona el ataque

Los ciberdelincuentes crean páginas falsas con un diseño idéntico a Reddit, donde publican hilos ficticios sobre temas específicos. En estos foros manipulados:
1.   Un usuario ficticio solicita ayuda para descargar una herramienta.
2.   Otro usuario responde ofreciendo un enlace de WeTransfer.
3.   Un tercero agradece, generando confianza en la legitimidad del enlace.

Cuando las víctimas desprevenidas hacen clic en el enlace, son redirigidas a un sitio falso de WeTransfer, que imita la interfaz del servicio real. Sin embargo, al presionar el botón "Descargar", en realidad obtienen la carga maliciosa de Lumma Stealer, alojada en un dominio fraudulento como weighcobbweo[.]arriba.

Detalles de la campaña de malware

•   Cantidad de sitios falsos: 529 imitan a Reddit y 407 a WeTransfer.
•   Nombres de dominio utilizados: Incorporan la marca suplantada con números y caracteres aleatorios para parecer legítimos.
•   Extensiones más utilizadas: .org y .net.

El investigador de ciberseguridad Crep1x de Sekoia identificó estos sitios maliciosos y compartió una lista completa con los dominios fraudulentos involucrados en la campaña.

Métodos de distribución y vectores de ataque

Los ciberdelincuentes utilizan múltiples estrategias para distribuir Lumma Stealer:

•   SEO malicioso (Black Hat SEO) para posicionar las páginas fraudulentas en Google.
•   Publicidad maliciosa que redirige a los sitios falsos.
•   Mensajes directos en redes sociales con enlaces infectados.
•   Sitios web comprometidos que alojan la carga útil del malware.

Este modus operandi es similar a una campaña anterior descubierta hace un año, donde 1.300 sitios falsos suplantaban a AnyDesk para distribuir el malware Vidar Stealer.

Lumma Stealer: Un peligroso malware de robo de información

Lumma Stealer es una de las herramientas más avanzadas de robo de credenciales y evasión de seguridad. Se vende en foros clandestinos y es distribuida a través de:

•   Comentarios maliciosos en GitHub.
•   Sitios web de deepfake.
•   Publicidad engañosa en redes sociales y buscadores.

Este malware puede robar:

✅ Contraseñas almacenadas en navegadores web.
✅ Tokens de sesión para secuestrar cuentas sin necesidad de credenciales.
✅ Datos confidenciales de empresas, que luego se venden en foros de ciberdelincuentes.

En los últimos meses, Lumma Stealer ha sido vinculado a ataques de alto impacto contra empresas como PowerSchool, HotTopic, CircleCI y Snowflake.
Cómo protegerse de esta amenaza:

🔹 Verifica los enlaces antes de hacer clic. Si recibes un enlace de WeTransfer o Reddit, revisa la URL cuidadosamente.
🔹 Utiliza software de ciberseguridad actualizado. Un buen antivirus puede detectar intentos de phishing y malware.
🔹 Habilita la autenticación en dos pasos (2FA). Esto reduce el riesgo de robo de cuentas en caso de fuga de credenciales.
🔹 Evita descargar archivos de fuentes no verificadas. Siempre confirma la autenticidad de los enlaces antes de proceder.

En conclusión, la campaña de suplantación de Reddit y WeTransfer con Lumma Stealer demuestra cómo los ciberdelincuentes explotan la confianza de los usuarios para robar información confidencial. Mantenerse informado y aplicar buenas prácticas de seguridad digital es clave para evitar caer en estas trampas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Muy buen post No tienes permitido ver enlaces. Registrate o Entra a tu cuenta 🙂. Gracias por compartir información valiosa.