微软对广泛传播的 Lumma 恶意软件威胁发出警告
微软在最近的一篇博客文章中公布了有关恶意软件对 Windows 系统影响的惊人统计数据。该公司报告称,在短短两个月内(从 2025 年 3 月 16 日至 2025 年 5 月 16 日),全球超过 39.4 万台 Windows 设备成为名为“Lumma”的信息窃取恶意软件的受害者。
了解 Lumma:恶意软件即服务威胁
Lumma,也称为 LummaC2,是由黑客组织 Storm-2477 开发的一款复杂的“恶意软件即服务”(MaaS)解决方案。网络犯罪分子主要利用 Lumma 从各种应用程序中窃取敏感数据,包括流行的网络浏览器和加密货币钱包。
Lumma 的传播和感染策略
微软详细介绍了 Lumma 的各种恶意传播方法,包括:
- 网络钓鱼电子邮件:旨在诱骗收件人下载恶意软件的欺骗性电子邮件。
- 恶意广告:旨在传播恶意软件的虚假广告。
- 驱动下载:利用受感染的网站在不知情的情况下将恶意软件安装到访问者的设备上。
- 特洛伊木马:看似合法但实际上隐藏恶意软件的应用程序。
- 虚假验证码:误导性提示,将用户引入恶意软件陷阱。
例如,用户被误导下载标有“Notepad++”或“Chrome 更新”等标签的假冒软件。为了防止成为此类骗局的受害者,我们强烈建议用户始终直接从官方渠道下载软件。
Lumma 威胁的持续性
即使用户安全地获取软件,Lumma 仍然是一个持续的威胁。一旦成功突破防御,该恶意软件可以通过各种媒介渗透到系统中,影响流行的基于 Chromium 的浏览器,例如 Google Chrome 和 Microsoft Edge,以及 Mozilla Firefox。
Lumma 恶意软件的功能
微软概述了 Lumma 在窃取敏感数据方面的强大能力:
- 浏览器凭证和 Cookie:从主流浏览器中提取已保存的密码和会话 Cookie。
- 加密货币钱包:针对钱包文件和扩展,搜索敏感密钥。
- 各种应用程序:从 VPN、电子邮件客户端、FTP 客户端和消息应用程序收集信息。
- 用户文档:从用户目录中收集文件,尤其是.pdf 和.docx 格式的文件。
- 系统元数据:收集遥测数据以协助策划未来的攻击。
全球影响和感染热图
根据微软分享的热图显示,Lumma 造成的破坏在欧洲、美国东部和印度各地等地区尤为明显,凸显了这一威胁的全球性:
微软的防御措施
幸运的是,事情还有一线希望。微软已确认其 Defender 杀毒软件现在可以检测到 LummaC2。该恶意软件将被标记为多种可疑行为和木马病毒:
- 行为:Win32/LuammaStealer
- 木马:JS/LummaStealer
- 木马:MSIL/LummaStealer
- 木马:Win32/LummaStealer
- 木马:Win64/LummaStealer
- 木马Dropper:Win32/LummaStealer
- 木马:PowerShell/Powdow
- 木马:Win64/Shaolaod
- 行为:Win64/Shaolaod
- 行为:Win32/MaleficAms
- 行为:Win32/ClickFix
- 行为:Win32/SuspClickFix
- 木马:Win32/ClickFix
- 木马:Script/ClickFix
- 行为:Win32/RegRunMRU
- 木马:HTML/FakeCaptcha
- 木马:Script/SuspDown
Defender for Office 365 和 Defender for Endpoint 也提供类似的功能。有关 Lumma 的更多详细技术见解,您可以访问微软官方博客文章(此处)和相关公告(此处)。
发表回复