Lumma信息窃取恶意软件卷土重来，隐匿性更胜以往

Lumma信息窃取恶意软件的操作者在5月份遭遇FBI打击后迅速重组，现已恢复其惯用攻击手段。

任何认为Lumma信息窃取程序在5月份FBI大规模打击后已失效的人都必须重新思考。这个所谓的"全球最流行恶意软件"的操作者已迅速重组为不容小觑的力量，在本轮攻击中采用了同样分散的分发方式和更隐蔽的规避检测策略。

根据7月22日发布的博客文章，趋势科技研究人员发现6月至7月期间该窃取程序针对的账户数量出现复苏，恶意软件通过"更谨慎的渠道和更隐蔽的规避策略"进行分发。

趋势科技威胁分析师Junestherry Dela Cruz在文章中写道，尽管在执法行动期间和之后5月份活动略有下降，但趋势网络的网络遥测数据显示，Lumma的基础设施"在打击行动后几周内"开始重新加速运行。这证明了"该组织在面对破坏时的韧性和适应性"。

从6月到7月，目标账户数量恢复到正常水平，表明"Lumma窃取程序操作者能够快速重建运营并恢复先前的目标活动"。

基础设施在打击后的变化

趋势科技还观察到新的活动表明Lumma的分发渠道一如既往多样化。这种商业恶意软件专为窃取各种凭据和加密货币钱包信息而构建，在三年的运营中已出现在各种网络犯罪中，包括勒索软件攻击、加密货币盗窃、商业电子邮件入侵(BEC)、账户劫持、网络间谍活动等。

根据文章内容，“用户可能通过虚假破解软件、欺骗性网站和社交媒体帖子被诱骗下载Lumma窃取程序。从组织的角度来看，网络安全意识薄弱的员工可能成为这些攻击的受害者。”

在遭到破坏之前，Lumma自2022年底以来一直活跃，其创建者到那时已经建立了重要的运营。ESET在打击行动后的研究显示，Lumma开发者每周部署74个新域名来托管恶意软件基础设施的各个部分，在过去一年中总共部署了3,353个独特的命令与控制域名。

然而，新活动显示自打击以来Lumma的基础设施发生了一些变化。在执法行动之前，Lumma大量利用Cloudflare的基础设施来混淆其恶意域名。通过使用广泛信任的合法服务，它可以掩盖服务器的真实来源，使检测和归因更具挑战性。

然而，在打击之后，其方法发生了变化，对Cloudflare的滥用总体量下降，尽管一些域名仍在使用该服务。这表明Lumma的操作者"可能有意识地减少对更受欢迎公司和基础设施的依赖，这些公司更容易受到监控，“Dela Cruz指出。

最近的活动显示该行动现在依赖一系列替代服务提供商，例如位于俄罗斯的云基础设施和数据中心服务。根据Dela Cruz的说法，这包括俄罗斯服务提供商Selectel，操作者在6月份严重依赖该服务。Selectel多年来一直被威胁行为者滥用，安全研究人员指出该公司很少处理恶意活动。

“这种战略转变表明转向可能被认为对执法请求反应较慢的提供商，进一步复杂化了跟踪和破坏其活动的努力，“Dela Cruz指出。

最新分发活动

趋势科技还观察到自打击以来Lumma的各种分发渠道，其中一些是熟悉的，另一些则展示了恶意软件操作的新兴策略。

打击后最普遍的活动之一是使用破解软件和密钥生成器，这些分别是伪装成合法软件免费版本的恶意软件下载和流行应用程序的假冒解锁器。前者是操作者在Lumma被打击前使用的分发方法，当时该窃取程序出现在Shellter Elite版本11.0的假版本中，这是一个商业防病毒/端点检测与响应(AV/EDR)规避框架。

Lumma还使用ClickFix，这是打击前用于传递窃取程序的另一种策略。ClickFix去年首次作为一种攻击方法曝光，当时Proofpoint研究人员观察到受感染的网站向访问者提供覆盖错误消息，旨在诱骗他们下载假浏览器更新，从而传递各种恶意软件。

此外，Lumma仍然通过YouTube和Facebook的社交媒体活动进行分发，前者隐藏窃取程序的软件破解，后者托管恶意软件的网站假广告。

持久性需要持续警惕

Dela Cruz指出，Lumma的复苏与现代网络犯罪操作的常态相符，即使在重大执法破坏后也往往能快速恢复活动。其作为恶意软件即服务产品的存在也意味着"那些几乎没有技术背景的人"可以进行攻击，最大化恶意软件的覆盖范围和传播。

鉴于Lumma操作的速度，组织应实践主动威胁情报，并持续执法与网络安全社区之间的合作，以继续跟踪该恶意软件。

根据趋势科技的文章，他们还应该培训员工如何识别来自活跃和已知Lumma活动的威胁，包括欺骗性和恶意软件提供、网站和社交媒体帖子，以防止他们无意中用恶意软件感染企业。

“通过网络安全工具加强的主动防御也可以进一步保护组织，“Dela Cruz观察到。