นักวิจัยจาก Sekoia.io รายงานว่ามีหน้าเว็บ Reddit และ WeTransfer ปลอมเกือบ 1,000 หน้า ถูกใช้ในการแพร่กระจายมัลแวร์ Lumma Stealer ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่ได้รับความนิยมในหมู่อาชญากรไซเบอร์

นักวิเคราะห์จาก Sekoia ที่ใช้ชื่อว่า crep1x ได้โพสต์ภาพตัวอย่างของเว็บปลอมเหล่านี้บนแพลตฟอร์ม X พร้อมแชร์รายชื่อโดเมนฟิชชิ่งทั้งหมด โดยหน้าเว็บปลอมถูกออกแบบให้มีลักษณะคล้ายของจริงมาก โดเมนมักจะมีคำว่า "reddit" หรือ "wetransfer" ตามด้วยตัวเลขและตัวอักษรสุ่ม เช่น "reddit23abcd[.]net" หรือ "wetransfer45xyzt[.]org"

วิธีการโจมตี

1. ใช้หน้า Reddit ปลอมหลอกให้กดลิงก์

แฮกเกอร์สร้างกระทู้ปลอมใน Reddit ให้ดูเหมือนว่ามีผู้ใช้มาขอซอฟต์แวร์บางตัว จากนั้นมีอีกบัญชีมาตอบพร้อมแนบลิงก์ไปยัง WeTransfer ปลอมเพื่อให้ดาวน์โหลดไฟล์ ตัวอย่างที่ crep1x แชร์คือโพสต์ปลอมใน r/techsupport ซึ่งเป็นชุมชนจริงที่มีสมาชิกกว่า 3 ล้านคน

2. ใช้ WeTransfer ปลอมส่งไฟล์มัลแวร์

เมื่อเหยื่อคลิกลิงก์ไปยังหน้า WeTransfer ปลอม จะพบไฟล์ที่ถูกบีบอัดและตั้งรหัสผ่าน อ้างว่าเป็นซอฟต์แวร์ที่พูดถึงใน Reddit แต่ในความจริงข้างในมี AutoIT dropper ชื่อ SelfAU3 ซึ่งจะติดตั้ง Lumma Stealer บนเครื่องของเหยื่อ

3. คัดกรองเป้าหมายก่อนโจมตี

เว็บฟิชชิ่งเหล่านี้ไม่ได้โจมตีทุกคน แต่มีระบบคัดกรองก่อน โดยจะตรวจสอบว่า

✅ เป้าหมายใช้ Windows หรือไม่

✅ มี IP address จากที่พักอาศัย (ไม่ใช่ VPN หรือองค์กร)

หากผ่านเงื่อนไข เว็บจะพาไปยัง WeTransfer ปลอมเพื่อให้ดาวน์โหลดไฟล์

วิธีที่แฮกเกอร์ใช้แพร่กระจายเว็บปลอม

นักวิจัยเชื่อว่าเว็บฟิชชิ่งเหล่านี้ถูกเผยแพร่ผ่าน 3 วิธีหลัก

1️⃣ SEO Poisoning – การทำให้เว็บปลอมติดอันดับใน Google เพื่อให้เหยื่อกดเข้าไปเอง

2️⃣ Malvertising – โฆษณาอันตรายที่แฝงอยู่ในเว็บต่าง ๆ แล้วพาผู้ใช้ไปยังเว็บปลอม

3️⃣ โพสต์ลิงก์ในเว็บบอร์ดหรือแพลตฟอร์มอื่น ๆ

นักวิจัย nhegde610 เคยพบแคมเปญนี้ตั้งแต่ปลายปี 2023 และพบว่าแฮกเกอร์ใช้ Google Colab notebook เพื่อช่วยให้หน้า Reddit ปลอมติดอันดับการค้นหา

ตัวอย่างแคมเปญฟิชชิ่งก่อนหน้านี้

แคมเปญ AnyDesk ปลอม – Crep1x เคยพบแฮกเกอร์สร้างเว็บปลอมกว่า 1,300 โดเมน ปลอมเป็น AnyDesk เพื่อแพร่มัลแวร์ขโมยข้อมูล Vidar

Bitwarden ปลอม – Jérôme Segura จาก Malwarebytes เคยพบเว็บ bitwariden[.]com ซึ่งถูกใช้แพร่กระจาย ZenRAT (Remote Access Trojan)

Lumma Stealer คืออะไร?

Lumma Stealer หรือ LummaC2 เป็นมัลแวร์ขโมยข้อมูลที่ขายในรูปแบบ Malware-as-a-Service (MaaS) โดยสามารถขโมยข้อมูลสำคัญ เช่น

• รหัสผ่านจากเว็บเบราว์เซอร์
• คุกกี้จากบัญชีออนไลน์
• ข้อมูลกระเป๋าเงินคริปโต

จากรายงานของ SpyCloud 2024 Malware and Ransomware Defense Report พบว่า Lumma เป็นมัลแวร์ขโมยข้อมูลที่พบมากที่สุดก่อนที่อาชญากรจะโจมตีด้วย Ransomware

วิธีป้องกันตัวจากเว็บปลอม

• อย่ากดลิงก์ที่ไม่แน่ใจ โดยเฉพาะจาก Reddit หรือแพลตฟอร์มอื่น ๆ
• ตรวจสอบ URL ให้ละเอียด ถ้าเป็นเว็บของ Reddit หรือ WeTransfer ควรเป็น "reddit.com" และ "wetransfer.com" เท่านั้น
• ใช้ 2FA ป้องกันบัญชี เผื่อในกรณีที่ข้อมูลรั่ว
• ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ เช่น Windows Defender หรือ Malwarebytes
• อัปเดตระบบปฏิบัติการและเบราว์เซอร์สม่ำเสมอ

การโจมตีแบบนี้แสดงให้เห็นว่าแฮกเกอร์พยายามหลอกล่อเหยื่อผ่านช่องทางที่เชื่อถือได้อย่าง Reddit และ WeTransfer ใครที่ชอบดาวน์โหลดซอฟต์แวร์จากอินเทอร์เน็ต ควรระวังให้มากขึ้น เพราะมัลแวร์เหล่านี้อาจซ่อนตัวอยู่ทุกที่

ติดตามเรื่องราว IT ต่างๆได้ที่ Avery IT Tech เพราะเรื่อง IT อยู่รอบตัวคุณ...

#AveryITTech #IT #มัลแวร์ #LummaStealer #Reddit #WeTransfer #มัลแวร์ขโมยข้อมูล #วิธีป้องกันLummaStealer