據微軟數字犯罪部門 (DCU) 釋出的訊息,日前該部門聯合行業合作伙伴打擊名為 Lumma Stealer 的資訊竊取惡意軟體,統計資料顯示僅在 2025 年 3 月 16 日~5 月 16 日間,該惡意軟體就在全球範圍內感染 39.4 萬臺電腦。
Lumma Stealer 是個惡意軟體即服務型別的資訊竊取軟體,即該惡意軟體的開發團隊主要負責開發工作,下游駭客或詐騙團伙租用該惡意軟體再去傳播,最終目的是竊取使用者的賬戶密碼、信用卡資訊、銀行賬戶資訊、加密貨幣錢包並嘗試向學校等機構勒索贖金。
在監測到異常後微軟數字犯罪部門向美國佐治亞州地方法院申請命令,在獲得批准後微軟查封並協助拆除、暫停和遮蔽約 2300 個構成 Lumma 基礎設施主幹的惡意域名,同時美國司法部扣押 Lumma 的中央指揮架構並搗毀向其他網路犯罪分子出售該惡意軟體的地下市場。
開發者向下遊駭客提供的門戶
這款惡意軟體的感染重災區在歐洲和日本,因此歐洲刑警組織和日本網路犯罪控制中心還協助微軟暫停了犯罪分子位於歐洲和日本的 Lumma 基礎設施,扣押這些域名後可以切斷惡意軟體控制者與受害者之間的通訊,避免駭客繼續竊取使用者資訊。
為了監測情況超過 1300 個被查封的域名被自動重定向到微軟控制的漏洞攻擊點(安全陷阱),也就是說惡意軟體繼續聯絡 C2 伺服器時實際上微軟能夠看到,這樣微軟可以獲得可操作的情報從而加強對受影響的 PC 的修復。
微軟稱此次聯合行動旨在減緩這些攻擊者發動攻擊的速度,最大限度地降低其攻擊活動的有效性,同時透過切斷其主要收入來源來阻止網路犯罪分子獲得非法收入。
從目前已知情報來看 Lumma Stealer 的主要開發者位於俄羅斯,其網路別名為 Shamel,這名俄羅斯人透過 Telegram 和其他俄語聊天軟體為 Lumma Stealer 提供不同級別的服務,根據下游犯罪分子購買的服務級別,他們可以建立自己的惡意軟體副本並透過線上門戶追蹤被盜訊息。
2023 年 11 月 Shamel 在接受網路安全研究人員 g0nixa 採訪時透露,當時 Lumma Stealer 就有 400 名活躍客戶 (也就是下游犯罪團伙),Lumma Stealer 使用獨特的鳥類標誌來營銷其產品,稱其為和平、輕鬆和安寧的象徵。