Lumma信息窃取木马活动激增,采用自适应浏览器指纹技术

趋势科技研究团队发现,Lumma信息窃取木马(跟踪为Water Kurita)在核心成员信息遭泄露后活动有所回升,并采用了新的自适应浏览器指纹技术来增强数据收集能力、维持操作连续性并规避检测。

关键要点

  • Lumma信息窃取木马(跟踪为Water Kurita)的核心成员遭“人肉搜索”后,其活动一度下降,但自2025年10月20日当周以来,趋势科技研究团队观察到其活动回升,并出现了新的行为和C&C技术。
  • Lumma信息窃取木马现在将浏览器指纹技术作为其命令与控制(C&C)策略的一部分,补充了传统的C&C协议。该指纹技术涉及使用JavaScript有效载荷以及与木马C&C服务器进行隐秘的HTTP通信,来收集和泄露系统、网络、硬件及浏览器数据。
  • 这些新观察到的行为使Lumma信息窃取木马能够保持操作连续性、评估受害者环境以指导后续行动,并逃避检测。
  • 趋势科技安全平台(Trend Vision One™)可检测并阻止本博文中提到的特定攻击指标(IoC),并为客户提供与Lumma信息窃取木马相关的狩猎查询、威胁洞察和情报报告。

详细分析

上个月,一场针对Lumma信息窃取木马(趋势科技跟踪为Water Kurita)所谓核心成员的“人肉搜索”活动曝光后,地下信息窃取领域经历了重大动荡。正如趋势科技研究团队先前报告中详述的那样,此次曝光导致Lumma信息窃取木马的活动显著下降,其许多用户迁移到了Vidar和StealC等竞争对手平台。然而,我们最近的遥测数据显示,Lumma信息窃取木马的活动有所回升,并伴随着其命令与控制(C&C)行为的显著变化,特别是引入了浏览器指纹技术。

从2025年10月20日当周开始,趋势科技的遥测开始检测到与Lumma信息窃取木马相关的活动显著增加,揭示了其目标策略的转变,新的端点成为主要目标(图1)。此次复苏的一个关键进展是该恶意软件采用了浏览器指纹技术,这代表了其C&C基础设施的重要演变,同时保持了与先前版本一致的核心通信协议。

图1. 2025年10月1日至11月3日期间,Lumma信息窃取木马攻击的目标端点

进程注入与浏览器劫持

分析的样本展示了Lumma信息窃取木马使用进程注入技术,特别是从MicrosoftEdgeUpdate.exe向合法的Chrome浏览器进程(chrome.exe)进行远程线程注入,如图2所示。该技术允许恶意软件在受信任的浏览器进程上下文中执行,有效地绕过许多安全控制,并让网络监控系统将其视为合法的浏览器流量。

图2. 趋势科技XDR日志中显示的新Lumma信息窃取木马浏览器指纹行为

网络流量分析

网络捕获分析揭示了恶意软件与C&C基础设施的通信模式。与指纹识别端点(<C2域名>/api/set_agent)的初始连接在网络流量中清晰可见,显示了包含唯一标识符和认证令牌等参数的HTTP GET请求(图3)。这种流量模式是Lumma信息窃取木马通信库的新增部分,与其传统的C&C协议并行发生。

图3. 浏览器指纹行为

新的C&C端点:浏览器指纹基础设施

该恶意软件现在与C&C域(本例中为jamelik[.]asia)上的专用指纹端点/api/set_agent进行通信。初始的GET请求包含几个参数:

  • id - 一个唯一的32字符十六进制标识符
  • token - 用于身份验证的会话令牌
  • agent - 浏览器标识(本例为Chrome)

尽管引入了浏览器指纹功能,但我们的分析确认,Lumma信息窃取木马保持了其先前在微软研究中记录的核心C&C通信结构(图4)。调试分析显示,该恶意软件继续传输传统的C&C参数(图5),包括:

  • uid - Lumma信息窃取木马客户端/操作员和活动的唯一标识符(从第6版的lid更新而来)
  • cid - 标识Lumma信息窃取木马附加功能的可选字段(从第6版的j更新而来)

图4. 该恶意软件使用WinHTTP API建立与其C&C服务器的出站连接,使远程操作员能够发出命令、泄露数据或部署额外的有效载荷

图5. URL参数uid和cid被传输至Lumma信息窃取木马的C&C服务器,供操作员跟踪活动

这种一致性表明,指纹功能是对现有C&C基础设施的增强而非替代,暗示操作员正在经过验证的通信框架之上叠加新的能力。

配置管理

对下载的配置数据(图6)分析揭示了该恶意软件如何协调传统的数据泄露和新的指纹操作。该配置在管理C&C域、命令参数和操作指令时保持了既定的结构,同时整合了用于浏览器分析活动的新指令。

图6. 从C&C服务器下载的配置

浏览器指纹有效载荷

访问指纹识别端点后,C&C服务器会回复旨在收集大量系统和浏览器特征的JavaScript代码。指纹脚本收集以下信息:

  • 系统信息:平台详情、用户代理字符串和语言偏好;硬件规格,包括CPU核心、设备内存和触摸功能;浏览器供应商信息和应用程序元数据。
  • 浏览器分析:WebGL指纹(提取显卡供应商、渲染器信息和支持的扩展);Canvas指纹(通过渲染文本和形状生成唯一的视觉签名);音频上下文分析(捕获音频系统功能,包括采样率和通道配置);WebRTC信息(通过交互式连接建立(ICE)候选者和会话描述协议(SDP)数据收集网络接口详情)。
  • 网络和硬件特征:连接类型、有效带宽和往返时间测量;屏幕分辨率、颜色深度和方向数据;可用字体和浏览器插件信息。

数据泄露机制

收集完全面的指纹数据后,脚本将所有信息序列化为JSON格式,并通过POST请求发送回C&C服务器的同一端点,并附加act=log参数。数据使用URL编码的表单数据发送,完成后浏览器将重定向到about:blank,以尽量减少用户察觉。

战术影响

这种结合了成熟C&C协议和新指纹功能的混合方法,为Lumma信息窃取木马的操作者服务多个战略目的:

  • 增强规避:详细的系统分析允许恶意软件识别虚拟机、沙箱和分析环境。
  • 改进目标定位:操作员可以根据受害者画像和系统能力有选择地部署有效载荷。
  • 操作连续性:保持经过验证的C&C参数确保了与现有基础设施和工具的兼容性。
  • 检测规避:使用合法的浏览器进程和标准的HTTP流量模式使得检测变得更具挑战性。

这种指纹实施,加上对现有C&C协议的保留,表明Lumma信息窃取木马的开发者已经战略性地增强了其能力,而没有放弃经过验证的操作方法。

Water Kurita(Lumma信息窃取木马)威胁态势评估

地下论坛监控显示,Lumma信息窃取木马威胁参与者在网络犯罪社区的活跃度显著下降,尽管市场活动仍在继续,买卖Lumma信息窃取木马日志的行为仍在进行。威胁态势因多个假冒合法Lumma信息窃取木马频道的欺诈性Telegram账户而进一步受到干扰,可能在威胁参与者社区内制造混乱并分裂用户群。这种操作上的干扰表明,Lumma信息窃取木马生态系统在维持其先前水平的协调和沟通方面正面临重大挑战。

尽管地下可见度降低,Lumma信息窃取木马仍然是一个活跃威胁,持续针对端点,并有记录显示其部署了GhostSocks作为次要有效载荷。然而,威胁参与者在基础设施管理实践上的操作退化是显而易见的。新的二进制样本现在包含过时的C&C域(包括微软已被接管的设施)以及单个活跃的C&C服务器,这与先前展示更高级操作安全性的全面域名轮换做法形成鲜明对比。

我们以中等信心评估认为,Lumma信息窃取木马的操作者正在保持低调,以避免引起执法部门和竞争对手的注意。威胁参与者似乎在刻意降低其可见度,同时维持基本操作,很可能在等待合适的时机恢复全面活动。这表明他们仍在运作,只是操作更加谨慎,而非完全关闭。

安全建议

为帮助组织有效防御Lumma信息窃取木马不断演变的策略,用户和防御者可以应用以下安全最佳实践:

  • 加强电子邮件安全意识:培训员工识别和报告网络钓鱼邮件,特别是那些冒充合法软件更新、货运通知或紧急安全警报,诱使用户下载恶意附件或点击可疑链接的邮件。
  • 谨慎对待在线广告:对点击广告持谨慎态度,尤其是那些提供免费软件下载、紧急安全警告或“好得令人难以置信”交易的广告,因为网络犯罪分子使用恶意广告通过被入侵的网站传播恶意软件。
  • 强制执行软件安装控制:限制用户安装软件的权限,并建立经批准的软件仓库,因为恶意软件通常通过假冒软件安装程序、破解应用程序以及从非官方来源下载的恶意浏览器扩展传播。
  • 警惕不寻常的验证码请求:对要求您复制粘贴命令、运行PowerShell脚本或执行超出简单图像验证操作的验证码提示保持怀疑,因为网络犯罪分子使用虚假验证码页面诱骗用户执行下载恶意软件的恶意代码。
  • 在您的账户上实施多因素认证(MFA):尽管高级攻击如中间人钓鱼可能试图绕过它,但MFA仍然是阻止多种账户泄露类型的关键安全措施。

趋势科技安全平台(Trend Vision One™)的主动安全

趋势科技安全平台是唯一一个集成了AI的企业网络安全平台,它将网络风险暴露管理和安全运营集中化,为本地、混合和多云环境提供强大的分层保护。

趋势科技安全平台威胁情报

  • 趋势科技安全平台威胁洞察:为了领先于不断演变的威胁,趋势科技客户可以访问威胁洞察,获取趋势研究团队关于新兴威胁和威胁参与者的最新见解。
    • 威胁参与者:Water Kurita
    • 新兴威胁:《Lumma复苏:分析Water Kurita的回归及人肉搜索后的新C2行为活动》
  • 趋势科技安全平台情报报告(IOC扫描):《Lumma复苏:分析Water Kurita的回归及人肉搜索后的新C2行为活动》

狩猎查询

趋势科技安全平台搜索应用 趋势科技安全平台客户可以使用搜索应用,通过环境中的数据匹配或搜寻本博文中提到的恶意指标。

  • 检测涉及.mid和.mid.bat文件的可疑文件移动:eventSubId: 2 AND objectCmd: /move.*\w+.mid(.bat)?/
  • 检测Lumma信息窃取木马浏览器指纹活动:eventSubId: 701 AND objectCmd: "*//api//set_agent?*&id*&token*&description*" 更多狩猎查询可供启用了威胁洞察权益的趋势科技安全平台客户使用。

攻击指标(IoCs)

文件

指标 检测名称
516cd47d091622b3eb256d25b984a5ede0d5dd9540e342a28e199082395e65e5 TrojanSpy.Win64.LUMMASTEALER.THKAABE

URLs

指标 描述
pabuloa[.]asia C&C服务器
jamelik[.]asia C&C服务器
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次