主要发现
- Lumma信息窃取器(趋势科技跟踪为Water Kurita)在核心成员被曝光后活动一度下降,但自10月20日当周起活动重新增加
- 该恶意软件现在将浏览器指纹识别作为其命令与控制(C&C)策略的一部分,补充传统的C&C协议
- 新观察到的行为使Lumma信息窃取器能够保持操作连续性,评估受害者环境以指导后续行动,并规避检测
- 趋势Vision One™平台可检测并阻止本文中提到的特定入侵指标(IoCs)
详细分析
自2025年10月20日当周起,趋势科技的遥测数据开始检测到与Lumma信息窃取器相关的活动显著增加。一个关键发展是该恶意软件实施了浏览器指纹识别技术,代表了其C&C基础设施的重大演变,同时保持了与先前版本一致的核心通信协议。
进程注入和浏览器劫持
分析的样本展示了Lumma信息窃取器使用进程注入技术,特别是从MicrosoftEdgeUpdate.exe向合法的Chrome浏览器进程(chrome.exe)进行远程线程注入。这种技术使恶意软件能够在受信任的浏览器进程上下文中执行,有效绕过许多安全控制。
网络流量分析
网络捕获分析揭示了恶意软件与C&C基础设施的通信模式。初始连接到指纹识别端点的HTTP GET请求清晰可见,包含唯一标识符和认证令牌等参数。
新的C&C端点:浏览器指纹识别基础设施
恶意软件现在与C&C域上的专用指纹识别端点/api/set_agent通信。初始GET请求包括几个参数:
- id - 唯一的32字符十六进制标识符
- token - 用于认证的会话令牌
- agent - 浏览器标识(本例中为Chrome)
配置管理
对下载的配置数据分析揭示了恶意软件如何协调传统数据渗出和新的指纹识别操作。配置保持了管理C&C域、命令参数和操作指令的既定结构,同时整合了浏览器分析活动的新指令。
浏览器指纹识别有效载荷
访问指纹识别端点时,C&C服务器会响应设计用于收集广泛系统和浏览器特征的JavaScript代码。指纹识别脚本收集以下信息:
系统信息
- 平台详情、用户代理字符串和语言偏好
- 硬件规格包括CPU核心、设备内存和触摸功能
- 浏览器供应商信息和应用程序元数据
浏览器分析
- WebGL指纹识别 - 提取显卡供应商、渲染器信息和支持的扩展
- 画布指纹识别 - 通过渲染文本和形状生成独特的视觉签名
- 音频上下文分析 - 捕获包括采样率和通道配置的音频系统功能
- WebRTC信息 - 通过交互式连接建立候选者和会话描述协议数据收集网络接口详情
网络和硬件特征
- 连接类型、有效带宽和往返时间测量
- 屏幕分辨率、颜色深度和方向数据
- 可用字体和浏览器插件信息
数据渗出机制
收集完整的指纹数据后,脚本将所有信息序列化为JSON格式,并通过POST请求将其发送回C&C服务器。数据使用URL编码的表单数据发送,完成后浏览器重定向到about:blank以最小化用户感知。
战术影响
这种结合既定C&C协议与新指纹识别能力的混合方法为Lumma信息窃取器操作者服务多个战略目的:
- 增强规避 - 详细的系统分析允许恶意软件识别虚拟机、沙箱和分析环境
- 改进定位 - 操作者可以根据受害者配置文件和系统能力选择性部署有效载荷
- 操作连续性 - 保持经过验证的C&C参数确保与现有基础设施和工具的兼容性
- 检测避免 - 使用合法的浏览器进程和标准的HTTP流量模式使检测更具挑战性
安全建议
为帮助组织有效防御Lumma信息窃取器不断演变的策略,用户和防御者可以应用以下安全最佳实践:
- 加强电子邮件安全意识
- 谨慎对待在线广告
- 强制执行软件安装控制
- 对异常的CAPTCHA请求保持警惕
- 在账户上实施多因素认证
入侵指标(IoCs)
文件
|
|
URL
|
|