黑客利用伪造验证码传播 Lumma Stealer 恶意软件

网络安全研究人员发现，攻击者正在通过虚假的 Captcha 提示分发无文件恶意软件 Lumma Stealer。根据网络安全公司 DNSFilter 的研究，这一恶意活动已引发广泛关注。

该虚假提示最初在希腊银行网站上被检测到，目标用户主要是 Windows 系统用户。提示要求用户将一段代码复制并粘贴到“运行”对话框中，随后按 Enter 键执行。

DNSFilter 报告显示，在短短三天内，其客户与虚假 Captcha 提示进行了 23 次交互，其中 17% 的用户完成了提示中的操作，导致系统尝试加载恶意软件。

Lumma Stealer 是什么？

DNSFilter 的全球合作伙伴布道者 Mikey Pruitt 解释称，Lumma Stealer 是一种专门设计用于窃取设备敏感数据的恶意软件。它会在受感染的设备中搜索凭证和其他关键信息。

普鲁特向记者透露：“Lumma Stealer 会迅速扫描系统中所有可能盈利的内容，包括浏览器存储的密码和 Cookie、保存的双因素认证（2FA）令牌、加密货币钱包数据、远程访问凭证，甚至密码管理器库。”解密。

据他介绍，不法分子通常利用窃取的数据进行身份盗窃、金融账户入侵或欺诈交易，以及获取加密货币钱包。

普鲁特强调，Lumma Stealer 的威胁范围极其广泛，可能隐藏在各种非恶意网站上。他补充说：“虽然我们无法准确估算潜在损失，但这种威胁的存在提醒我们在遇到可疑情况时要保持高度警惕。”

恶意软件即服务（MaaS）模式

Lumma Stealer 不仅是一种恶意软件，还采用了恶意软件即服务（MaaS）模式，这被认为是近年来网络攻击激增的主要原因之一。安全公司报告指出，这种模式极大地降低了网络犯罪的技术门槛。

ESET 的恶意软件分析师 Jakub Tomanek 表示，Lumma Stealer 的运营者不断完善其功能，增强其规避检测的能力，并注册了多个域名用以托管恶意软件。

他告诉解密，“他们的核心目标是维持服务的持续运营与盈利能力，通过向关联方收取月度订阅费，将 Lumma Stealer 打造成一项可持续发展的网络犯罪业务。”

由于 MaaS 模式无需网络犯罪分子自行开发恶意软件及其底层基础设施，像 Lumma Stealer 这样的服务变得愈加流行。

今年 5 月，美国司法部查封了五个互联网域名，这些域名被用于操控 Lumma Stealer 恶意软件。与此同时，微软也私下关闭了 2,300 个类似的域名。

然而，趋势科技 7 月分析数据显示，Lumma Stealer 自 5 月以来再度活跃，6 月至 7 月期间被攻击账户数量已逐渐恢复至正常水平。

恶意软件的全球影响力

Lumma Stealer 的吸引力在于其低廉的订阅费用（通常为每月支付），这与其带来的潜在收益形成了鲜明对比。

Darktrace 安全与人工智能战略副总裁 Nathaniel Jones 表示：“这款复杂的信息窃取程序在暗网论坛上的售价仅为 250 美元，但它专门针对网络犯罪分子最感兴趣的内容——加密货币钱包、浏览器存储的凭据以及双因素身份验证系统。”

琼斯告诉解密，Lumma Stealer 的影响规模“令人震惊”，2023 年估计造成的经济损失高达 3650 万美元，两个月内有 40 万台 Windows 设备受到感染。

“真正令人担忧的不仅是数字，还有其多层次的盈利策略，”他说。“Lumma 不仅窃取数据，还会系统性地收集浏览器历史记录、系统信息，甚至 AnyDesk 配置文件，然后将所有数据泄露给俄罗斯控制的指挥中心。”

更严重的是，被盗数据通常会被直接输入到专门窃取和转售凭证的“贩卖团队”，从而进一步扩大攻击链的影响。

琼斯补充道：“这种连锁反应可能是毁灭性的，一次感染就可能导致银行账户劫持、加密货币盗窃和身份欺诈，且其影响往往会在初次入侵后持续很长时间。”

尽管 Darktrace 暗示 Lumma 相关攻击可能与俄罗斯有关，但 DNSFilter 指出，利用该恶意软件服务的攻击者可能分布在多个地区。

普鲁特表示：“此类恶意活动通常涉及来自多个国家的个人或团体”，并补充说，“使用国际托管服务提供商和恶意软件分发平台”的情况尤为常见。