Lumma infostealer窃取恶意软件团伙在遭受执法部门打击后卷土重来

Lumma infostealer恶意软件业务在经历5月份的大规模执法行动后已经逐渐恢复活动，该行动导致2300个域名和部分基础设施被没收。

虽然Lumma恶意软件即服务（MaaS）平台在执法行动中遭受了严重破坏，但正如6月初关于信息窃取活动的报告所证实的那样，它并没有关闭。

运营商立即在XSS论坛上承认了这一情况，但声称他们的中央服务器没有被劫持（尽管它已经被远程清除），恢复工作已经在进行中。

Lumma 管理员在执法行动后的第一条消息

渐渐地，MaaS重新建立起来，并重新获得了网络犯罪社区的信任，现在又开始在多个平台上为信息窃取行动提供便利。

安全分析师表示，Lumma几乎已经恢复到被拆除前的活动水平，遥测数据表明，基础设施正在迅速重建，Lumma业务有明显复苏迹象。

新的Lumma C2域

据报道，Lumma仍然使用合法的云基础设施来掩盖恶意流量，但现在已经从Cloudflare转向其他供应商，最著名的是俄罗斯的Selectel，目的是以避免被关闭。

研究人员强调了Lumma目前用于获得新感染的四个分销渠道，表明其全面回归多方面目标。

1.虚假漏洞/密钥：虚假软件漏洞和密钥通过恶意广告和操纵搜索结果进行推广。受害者被引导到欺骗性网站，这些网站在提供Lumma下载程序之前使用流量检测系统（TDS）对他们的系统进行指纹识别。

2.ClickFix：受感染的网站显示假CAPTCHA页面，欺骗用户运行PowerShell命令。这些命令将Lumma直接加载到内存中，帮助它避开基于文件的检测机制。

3.GitHub：攻击者正在积极创建GitHub存储库，其中包含人工智能生成的内容广告虚假游戏作弊。这些repos托管Lumma有效负载，比如“TempSpoofer.exe”，可以是可执行文件，也可以是ZIP文件。

4.YouTube/Facebook：目前Lumma的发行还包括YouTube视频和Facebook上推广破解软件的帖子。这些链接指向托管Lumma恶意软件的外部网站，这些恶意软件有时会滥用sites.google.com等受信任的服务，使其看起来可信。

恶意GitHub存储库（左）和YouTube视频（右）分发Lumma有效载荷

Lumma再次成为重大威胁表明，没有逮捕或起诉的执法行动对于阻止这些威胁者基本是无效的。像Lumma这样的MaaS运营非常有利可图，其背后的运营商可能将执法行动视为他们必须克服的常规障碍且并无半分忌惮可言。