Lumma infostealer恶意软件操作被瓦解，2300个域名被查获

本月早些时候，针对Lumma恶意软件即服务（MaaS）信息窃取行动的协同破坏行动在全球范围内冻结了数千个域名及其基础设施的一部分。

这一行动涉及多家科技公司和执法机构，导致微软在2025年5月13日对恶意软件采取法律行动后，查封了大约2300个域名。

与此同时，美国司法部（DOJ）通过查封Lumma的控制面板，破坏了向网络犯罪分子出租恶意软件的市场，而欧洲刑警组织（Europol）的欧洲网络犯罪中心（EC3）和日本网络犯罪控制中心（JC3）则帮助查封了Lumma在欧洲和日本的基础设施。

在2025年3月16日至5月16日期间，微软在全球范围内发现了超过39.4万台Windows电脑感染了Lumma恶意软件。与执法部门和行业合作伙伴合作，切断了恶意工具和受害者之间的联系。

Lumma Stealer的破坏行为使Lumma运营商无法访问其控制面板、被盗数据市场以及用于促进数据收集和管理的互联网基础设施。这些措施给Lumma运营商及其客户带来了运营和财务成本，迫使他们在替代基础设施上重建服务。

其他参与针对Lumma基础设施联合行动的公司包括ESET、CleanDNS、Bitsight、Lumen、GMO Registry和全球律师事务所Orrick。

域名查封横幅

Cloudflare表示，Lumma Stealer滥用他们的服务来隐藏服务器的原始IP地址，这些服务器是威胁者用来收集被盗凭据和数据的。

即使在暂停了该操作使用的域名后，恶意软件也绕过了Cloudflare的间隙警告页面，导致该公司采取额外措施阻止数据泄露。

Cloudflare的信任和安全团队反复标记犯罪分子使用的域名，并暂停了他们的账户。

在2025年2月，Lumma的恶意软件被观察到绕过了Cloudflare的间隙警告页面，这是Cloudflare用来破坏恶意行为者的一种对策。作为回应，Cloudflare将Turnstile服务添加到插页警告页面中，因此恶意软件无法绕过它。

什么是Lumma恶意软件

Lumma（也被称为LummaC2）是一款恶意软件即服务信息窃取软件，目标是Windows和macOS系统，网络犯罪分子可以以250美元到1000美元的价格租用该软件。

该恶意软件具有高级逃避和数据窃取功能，通常通过各种渠道传播，包括GitHub评论、deepfake裸体生成器网站和恶意广告来感染受害者。

在入侵系统后，Lumma可以从web浏览器和应用程序中窃取数据，包括加密货币钱包和cookie、凭证、密码、信用卡和b谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium浏览器的浏览历史记录。

然后，这些被盗数据被收集到一个档案中，并发送回攻击者控制的服务器，攻击者将在网络犯罪市场上出售这些信息，或将其用于其他攻击。

该软件于2022年12月首次在网络犯罪论坛上出售，KELA报告称，仅仅几个月后，该软件就在网络犯罪分子中流行起来。

正如IBM X-Force的《2025年威胁情报报告》所指出的那样，去年在暗网上出售的信息伪造者凭证增加了12%，而通过网络钓鱼提供的信息伪造者数量大幅增加了84%，其中Lumma是最普遍的。

Lumma已被用于大规模恶意广告活动，影响了数十万台pc，并被许多臭名昭著的威胁组织和恶意分子使用，包括 Scattered Spider 网络犯罪集团。

最近，利用窃取信息的恶意软件窃取的数据已经成为PowerSchool、HotTopic、CircleCI和Snowflake的高影响漏洞的幕后黑手。

除了被用来破坏公司网络之外，infostealer恶意软件窃取的凭证也被用来通过破坏网络路由信息来造成混乱，正如威胁者劫持Orange Spain RIPE帐户来错误配置BGP路由和RPKI配置所示。

本周，FBI和CISA还发布了一份联合咨询报告，详细介绍了与部署Luma恶意软件的威胁者相关的入侵指标（ioc）和已知战术、技术和程序（TTPs）。