核心发现

• 死灰复燃：2025年5月执法行动后，Lumma窃密软件6月起攻击量已恢复至原有水平，通过GitHub仓库、社交媒体欺诈链接等隐蔽渠道传播
• 技术规避：弃用Cloudflare转向俄罗斯Selectel等数据中心，利用PowerShell内存加载（无文件攻击）逃避检测
• 攻击链创新：通过"ClickFix"虚假验证码诱导用户执行恶意命令，在YouTube/Facebook伪造破解软件推广页面
• MaaS模式威胁：作为恶意软件即服务，降低攻击门槛，非技术罪犯也可实施数据窃取

攻击技术深度分析

基础设施演变

• 历史依赖：2025年前70%的C&C域名使用Cloudflare隐蔽真实IP
• 当前策略：执法行动后主要转向俄罗斯Selectel数据中心（占比提升至58%），同时保留部分Cloudflare节点作混淆

新型传播载体

1. 虚假破解软件

   • 仿冒Photoshop等工具下载页植入Traffic Detection System (TDS)
   • 二次跳转至密码保护的Lumma下载器（SHA256: 9a3c…b2e1）

2. ClickFix验证码欺诈

   1 2 3 4 5

   # 典型攻击指令 $xorKey = 0x55 $encryptedBytes = [System.IO.File]::ReadAllBytes("C:\temp\encrypted.bin") $decrypted = $encryptedBytes | % { $_ -bxor $xorKey } [System.Reflection.Assembly]::Load($decrypted).EntryPoint.Invoke($null,$null)

3. GitHub自动化滥用

   • 攻击者账号特征：单仓库、无历史活动

企业防护建议

1. 终端防护

   • 阻断PowerShell内存加载行为（Trend Vision One检测规则：malName:*LUMMASTEALER* AND eventName:MALWARE_DETECTION）

2. 威胁狩猎

   • 监控Selectel IP段（91.206.192.0/22）的异常外连

3. 员工培训

   • 识别虚假验证码页面特征（如CAPTCHA拼写错误）
   • 禁用Office宏执行来自社交媒体的文档

威胁指标(IOCs)