Lumma信息窃取器窃取浏览器数据并在暗网市场以日志形式出售

信息窃取器是专门的恶意软件变种，定期从受感染系统中窃取大量敏感数据。这包括会话令牌、登录凭据、加密货币钱包信息、个人身份信息（PII）、多因素认证（MFA）工件以及浏览器中存储的任何数据。

这些威胁通过钓鱼操作、社会工程策略、恶意广告和SEO操纵活动传播，被盗数据在地下市场中作为“日志”商品化，根据其可利用性进行估值。这种扩散加剧了消费者和企业环境的安全挑战，受感染的个人设备可能无意中暴露企业凭据，甚至绕过检测凭据重用的高级端点保护。

Lumma是一种著名的信息窃取器，归因于俄罗斯威胁行为者Shamel（也称为lumma或HellsCoder），于2022年在网络犯罪论坛上出现，由于其有效性、用户友好界面和安全检测规避能力迅速占领市场份额。它甚至集成了自己的市场来销售外泄日志；在2024年4月至6月期间，记录了超过21,000个列表，突显了其规模。感染通常源于对盗版或破解软件的搜索，对手部署错误标记的可执行文件或将有效负载嵌入看似合法的应用程序中。

两种感染链

2025年3月底的最新分析揭示了利用Google托管网站的活动，查询如“download free cracked software site:google.com”将用户导向包含Lumma的下载。点击这些结果或X（前Twitter）或Google Colab等平台上的恶意链接的受害者被引导到具有“立即下载”按钮的二级域名，导致包含受密码保护的内部ZIP的ZIP存档。

提取产生一个NSIS安装程序（例如setup.exe），部署Lumma，通过CypherIT加密器进行混淆，该工具多态地改变恶意软件签名以逃避防病毒审查。

执法部门打击

2025年5月，一项协调的国际努力破坏了Lumma的基础设施，针对其命令和控制（C2）服务器。Microsoft获得了法院命令，查封或封锁了2,300个相关域名，而美国司法部接管了Lumma的控制面板，Europol的EC3与日本的J3C一起拆除了其他组件。此行动识别了全球超过394,000个受感染的Windows系统，修复计划正在进行中。

打击后，Lumma操作者承认执法部门利用了漏洞，包括磁盘擦除和备份服务器泄露，并报告了用于钓鱼其客户端IP地址的域名接管。FBI显著渗透了一个相关的Telegram频道，向用户保证“所有您的日志和账户信息都安全地在我们这里”。尽管如此，新的C2服务器迅速重新出现，表明恶意软件的生态系统恢复和持续威胁。

高级威胁狩猎

除了不可靠的静态指标（如文件哈希或域名，由于加密器引起的多态性和频繁的C2轮换），威胁猎人专注于行为模式。Lumma变种，特别是那些CypherIT打包的，使用Living-off-the-Land二进制文件（LOLBins），如Tasklist.exe和Findstr.exe，来枚举运行进程，识别安全工具如Bitdefender、ESET、Quick Heal或Sophos以进行潜在终止。

这种侦察始于一个cmd.exe实例生成一个混淆的批处理脚本，通过Findstr过滤Tasklist输出，如果检测到防御则停止执行。专门的狩猎包，兼容Splunk、CrowdStrike LogScale和Microsoft Sentinel等工具，通过查询Sysmon日志中的可疑命令行模式来检测此类异常。例如，Splunk狩猎可能揭示快速的Findstr搜索包含“password”的文件，随后调用Tasklist，可能表明数据收集或持久化努力。

区分恶意和良性活动需要基线历史模式（例如，不频繁的影子副本删除或非典型管理员工具使用），使调查人员能够关联用户角色、机器上下文和命令来源以进行准确的威胁验证。这种主动狩猎，由利用破解软件部署Lumma的活动的恶意软件情报报告提供信息，对于缓解这种弹性信息窃取器仍然至关重要。