地下世界的震荡:Lumma窃密软件被曝光事件的影响

针对Lumma窃密软件核心成员的有目标曝光行动导致其活动急剧下降,客户转向竞争对手的信息窃取平台。本文分析了这一事件对地下恶意软件生态系统的深远影响,包括市场份额变化和新兴威胁趋势。

地下世界的震荡:Lumma窃密软件被曝光事件的影响

一项有针对性的地下曝光活动泄露了Lumma窃密软件(Trend Micro追踪为Water Kurita)据称核心成员的敏感细节,同时观察到其活动急剧下降。

关键要点

  • 针对Lumma窃密软件核心成员的有目标曝光活动泄露了敏感细节,与观察到的活动急剧下降时间吻合
  • 此次曝光以及威胁行为者Telegram账户的受损,导致Lumma窃密软件的新样本检测和C&C操作活动下降
  • Lumma窃密软件运营者的客户已转向其他信息窃取恶意软件即服务平台,主要是Vidar和StealC
  • 相关服务如Amadey的活动减少
  • 这种数量下降引发了恶意软件作者之间的激烈竞争,可能导致新的创新和地下市场中新信息窃取变种的出现

介绍

2025年9月,我们注意到与Lumma窃密软件相关的新的命令和控制基础设施活动显著下降,以及被这种著名恶意软件攻击的终端数量大幅减少。这种突然下降似乎与一项针对性的地下曝光活动相吻合,该活动将焦点对准了据称与Lumma窃密软件行动有关的个人。

据称由竞争对手驱动,这项活动揭露了几名据称核心成员的个人和操作细节,导致Lumma窃密软件的基础设施和通信发生重大变化。

Lumma窃密软件的衰落

Lumma窃密软件的增长和广泛采用归功于其效率、支持和频繁更新。然而,其在地下市场的主导地位使其成为国际执法部门的关键目标,最终在2025年5月进行了协调的取缔尝试。

尽管如此,Lumma窃密软件及其运营者很快重新出现,恢复了基础设施并重新与客户接触。从6月开始,活动水平保持高位,新的样本继续在野外出现,表明运营者的韧性和网络犯罪生态系统内的强劲需求。

然而,这段稳定期在2025年9月被打断,当时我们开始观察到样本检测和C&C活动稳步下降。这种下降与针对据称是Lumma窃密软件背后个人的激进地下曝光活动时间吻合,导致恶意软件运营者遭受重大操作挫折。

图1:Lumma窃密软件从2025年9月初到10月初目标终端数量(上)和网络基础设施来源活动(下)的下降趋势

时间线

以下事件序列概述了2025年末Lumma窃密软件操作的瓦解,基于公共来源和内部遥测数据:

  • 2025年9月初:Trend遥测开始记录Lumma窃密软件样本检测和C&C活动的稳步下降
  • 2025年9月17日:Lumma窃密软件的官方Telegram账户据称被入侵或窃取
  • 2025年8月末至10月:曝光活动发布了五名据称与Lumma窃密软件行动有关的个人的广泛个人和操作细节

图2:Water Kurita/Lumma窃密软件代表在地下论坛发布关于其Telegram账户被窃取的帖子

事件详情

Lumma窃密软件活动的下降与针对据称与该恶意软件开发和管理有关的个人的激进地下曝光活动时间吻合。该活动从8月末开始,持续到10月初,系统性地发布了五名据称Lumma窃密软件运营者的个人身份信息、财务记录、密码和社交媒体资料,这些信息在一个名为"Lumma Rats"的网站上展示。

根据披露的信息,这些是这些个人的角色:

  • 管理/运营:负责操作监督
  • 开发/技术:专注于恶意软件混淆的加密器开发
  • 未知角色:三名额外成员,其具体功能未披露但足够重要以至于需要广泛曝光

图3:据称的Lumma窃密软件威胁行为者在名为"Lumma Rats"的网站上被曝光

披露内容包括高度敏感的细节,如护照号码、银行账户信息、电子邮件地址以及各种在线资料的链接。曝光活动伴随着威胁、网络犯罪社区内背叛的指控,以及声称Lumma窃密软件团队优先考虑利润而非客户操作安全的说法。

这些披露之后,Lumma窃密软件的Telegram账户据称在9月17日被入侵,进一步破坏了他们与客户沟通和协调操作的能力。这导致了前面提到的新的Lumma窃密软件样本和可观察C&C基础设施的减少,表明该操作受到了严重影响——无论是通过关键人员流失、信任侵蚀还是对进一步曝光的恐惧。

地下生态系统的响应

未知威胁行为者试图破坏Lumma窃密软件操作的尝试引发了地下恶意软件即服务格局的显著变化。以前依赖Lumma窃密软件的客户被观察到在论坛和Telegram频道上积极讨论替代的信息窃取解决方案。Vidar和StealC已成为主要的替代选项,许多用户报告由于Lumma窃密软件的不稳定性和支持丧失而迁移到这些平台。

图4:自9月以来Vidar文件来源活动的上升趋势

这种转变也影响了更广泛的生态系统,包括按安装付费服务如Amadey,这些服务已被广泛用于传递信息窃取有效载荷。随着Lumma窃密软件数量的减少,Amadey经历了平行的活动下降,表明与信息窃取分发相关的服务需求减少。

图5:Amadey文件来源活动的下降趋势表明由于信息窃取分发减少导致服务需求降低

同时,其他恶意软件作者正在通过积极营销自己的替代产品来利用这种情况,目标是吸引前Lumma窃密软件客户。这种机会主义的推广正在推动快速创新并加剧MaaS提供商之间的竞争,增加了新的、更隐蔽的信息窃取变种进入市场的可能性。

图6:新信息窃取广告比较其服务与Lumma窃密软件并指出其缺陷

结论

Lumma窃密软件活动最近的下降证明了网络犯罪生态系统的波动性,即使是最占主导地位的恶意软件家族也容易受到外部执法压力和内部竞争的影响。随着Lumma窃密软件在顶端的地位使其成为取缔操作和地下曝光活动的主要目标,其 disruption 已促使威胁格局发生变化,竞争对手渴望填补空白并吸引前客户。

建议

鉴于从Lumma窃密软件的快速迁移,防御者应密切监控以下内容:

  • 旧的MaaS如Vidar和StealC:继续监控与这些日益流行的替代方案相关的新活动、基础设施和样本
  • 新兴的MaaS平台:跟踪新推广的信息窃取器,并关注表明客户偏好变化的地下讨论
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次