C’est un fil Reddit ? Pas du tout ! C’est une vaste campagne de faux sites malveillants. À votre place, on ne se risquerait pas à cliquer.

Attention : près de 1 000 faux sites Reddit et WeTransfer distribuent un dangereux malware © C Guoy / Shutterstock
Attention : près de 1 000 faux sites Reddit et WeTransfer distribuent un dangereux malware © C Guoy / Shutterstock

Près de 1 000 sites frauduleux imitant Reddit et WeTransfer pullulent actuellement sur le web, diffusant un malware voleur de données redouté : Lumma Stealer. En jouant sur la confiance des internautes envers des marques bien établies, cette campagne pousse l’ingénierie sociale à un niveau inquiétant. Derrière ces pages malveillantes, une mécanique parfaitement huilée permet aux cybercriminels de siphonner vos informations sensibles en toute discrétion.

Un plan parfaitement orchestré

C’est une arnaque savamment construite. Les équipes de recherche en sécurité de Sekoia viennent de mettre le doigt sur une campagne d’une ampleur rare, impliquant 529 pages imitant Reddit et 407 usurpant WeTransfer.

Dans le détail, il apparaît que ces faux sites ne se contentent pas de copier les éléments visuels des marques qu’ils imitent. Pour gagner la confiance des internautes, ils recréent des discussions fictives sur des sujets ciblés. Dans ces échanges, un premier utilisateur demande de l’aide pour télécharger un outil, un second fournit un lien WeTransfer, tandis qu’un troisième approuve la solution apportée et remercie l’auteur du partage, de manière à renforcer l’authenticité apparente du fil Reddit.

Sauf qu’en réalité, vous l’avez deviné, le lien redirige les victimes vers une fausse interface WeTransfer, sur laquelle le téléchargement du fichier prétendument utile aboutit à l’installation du malware Lumma.

D’après les premières analyses, les cybercriminels ont poussé leur stratagème jusqu’à concevoir des URL soigneusement travaillées. Chaque adresse inclut une référence explicite à Reddit ou WeTransfer, suivie de chaînes de caractères et de chiffres aléatoires pour paraître crédible. Les extensions utilisées – *.org et *.net – renforcent l’apparence officielle de ces pages, et donc la supercherie plus difficile à déceler. Un niveau de détails qui laisse penser que cette campagne est le fruit d’un travail organisé et structuré, et non une simple tentative opportuniste.

De faux sites Reddit restituent des simulacres de discussion pour vous pousser à cliquer sur un faux lien WeTransfer © Sekoia / crep1x via X.com
De faux sites Reddit restituent des simulacres de discussion pour vous pousser à cliquer sur un faux lien WeTransfer © Sekoia / crep1x via X.com

Une fois installé, Lumma se met à siphonner tout ce qui peut avoir de la valeur : mots de passe, jetons de session, données bancaires. Ces informations sont soigneusement exfiltrées vers des serveurs distants, contrôlés par les attaquants, avant d’être revendues ou utilisées pour mener d’autres campagnes malveillantes plus ciblées.

Le tout avec force discrétion, ce qui complique sérieusement la détection du stealer. Lumma intègre en effet des mécanismes conçus pour contourner les outils de sécurité classiques, et peut se fondre dans les systèmes sans attirer l’attention. Une furtivité qui permet aux attaquants de rester sous le radar suffisamment longtemps pour exploiter au maximum les données exfiltrées avant que les victimes ne s’en rendent compte.

Les chercheurs n’ont pas encore identifié les vecteurs d’exposition initiaux. Parmi les hypothèses avancées sont évoqués des publicités malveillantes, un empoisonnement SEO, des sites frauduleux ou même des messages privés sur les réseaux sociaux. Tous ces canaux permettraient alors de multiplier les points d’entrée et d’élargir la portée de l’attaque.

Autre subtilité de la campagne : l’accès au fichier infecté semble volontairement restreint. Les cybercriminels auraient mis en place des filtres pour rediriger uniquement les systèmes Windows associés à des adresses IP résidentielles vers le téléchargement du malware. Une stratégie qui réduit les risques de détection par les chercheurs, et augmente donc les chances de succès auprès des victimes ciblées.

La redirection malveillante vous emmène sur une fausse page WeTransfer hébérgeant l'infostealer Lumma © Sekoia / crep1x via X.com

Comment éviter de tomber dans ce type de piège ?

Dans ce type d’attaque, tout repose sur la confiance et le manque d’attention des internautes. Mais en adoptant quelques réflexes simples, vous pouvez éviter bien des désagréments.

Lorsque vous naviguez en ligne, prenez toujours le temps de vérifier l’URL des pages que vous consultez. Une adresse qui semble étrange, avec des caractères inhabituels ou une extension douteuse, est souvent un signe d’usurpation. Évitez de cliquer sur des liens partagés dans des forums ou des messages sans en contrôler la source. Pour accéder à un site officiel, saisissez toujours son adresse directement dans la barre de votre navigateur.

Sur le plan technique, protéger vos identifiants est essentiel. Lumma peut siphonner les mots de passe stockés dans les navigateurs en exploitant leurs fichiers de stockage et en utilisant les permissions accordées par l’utilisateur ou l’utilisatrice. En revanche, les gestionnaires de mots de passe externes, grâce à leurs systèmes de chiffrement solides, restent hors de portée de ce type de malware. Ces outils offrent une sécurité nettement supérieure et permettent de réduire les risques en cas de vol de données.

Enfin, pensez à doubler vos protections système intégrées par un bon antivirus, et activez l’authentification à deux facteurs (A2F) sur vos comptes sensibles. Même en cas de vol d’identifiants, cette protection supplémentaire peut empêcher toute prise de contrôle.

Sources : @crep1x via X.com, Bleeping Computer

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en 2025

27 janvier 2025 à 08h51

Comparatifs services