Silent Push 威胁分析人员发现了 Lumma Stealer恶意软件传播方面的新动向。Lumma Stealer 是一款臭名昭著的信息窃取恶意软件,它通过具有欺骗性的网络手段不断扩大影响范围。最新报告详细阐述了恶意行为者是如何利用 YouTube、Cloudflare 和 MediaFire 来传播这款恶意软件的,这给全球毫无防备的用户带来了巨大风险。Lumma Stealer 于 2022 年首次出现在俄语的犯罪论坛上,它采用恶意软件即服务(MaaS)模式运营,网络犯罪分子可以根据分层定价购买使用权限。这款恶意软件旨在窃取浏览器凭据、存储的财务信息、加密货币钱包数据以及其他敏感信息。据 Silent Push 称,“自 2023 年起,与Lumma Stealer相关的受攻击事件数量急剧上升,尤其是那些涉及将被盗取的凭据转售给其他犯罪分子的情况。”Lumma Stealer 的操控者采用了多种传播技术,其中许多都利用了热门平台。已确定的主要感染途径包括:1.恶意 YouTube 链接:攻击者将受恶意软件感染的文件隐藏在视频描述、评论和可下载资源中。2.虚假的验证码验证:一种名为 ClickFix 的技术通过模仿合法的验证过程,诱使用户执行恶意软件。3.由 Cloudflare 和 MediaFire 托管的恶意软件:黑客滥用这些受信任的服务,在传播恶意文件的同时躲避检测。Silent Push 警告称,“通过恶意 YouTube 链接以及隐藏在视频、评论或描述中的受感染文件来传播恶意软件的情况日益增多,这令人担忧。”调查人员发现,包含被盗取凭据的 Lumma Stealer 日志正在一个相对较新的黑客论坛 Leaky [.] pro 上被免费分享。这个平台提供了数十亿条 “网址:日志:密码” 记录,使其成为网络犯罪分子利用被入侵账户的一座 “金矿”。Silent Push 指出,“Lumma Stealer的日志正在 Leaky [.] pro 上被免费分享,该平台提供了数十亿条与被盗取凭据相关的详细记录。”Silent Push 的分析人员已经发现了 Lumma Stealer 基础设施的一些规律,揭示出威胁行为者经常批量注册命令与控制(C2)域名集群。其中许多域名在激活前会放置一段时间,这种手段有助于躲避检测。报告称,“使用Lumma Stealer的威胁行为者似乎每次会注册大约 10 到 20 个域名的集群,其中一些会立即使用,而另一些则会放置长达两周的时间。”
