Lumma信息窃取恶意软件（Infostealer）在遭受大规模执法打击并查获大量域名及基础设施后，正逐步恢复其活动。尽管此次行动对Lumma造成了影响，但该恶意软件即服务（MaaS）平台并未完全关闭。运营商声明其核心服务器未被查获，且正在进行恢复工作。趋势科技的报告显示，Lumma的基础设施在打击后的数周内迅速重建，活动水平已接近行动前状态。为规避进一步打击，该组织已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。Lumma目前主要通过虚假破解工具/密钥生成器、ClickFix技术、GitHub仓库以及YouTube/Facebook平台等四类渠道传播恶意软件，显示出其强大的韧性和适应能力。

🎯 Lumma恶意软件具备强大的恢复能力，在执法行动查获大量域名和基础设施后，其活动水平迅速恢复至接近打击前的水平，表明该MaaS平台未被彻底摧毁。

🛡️ 为规避后续的执法打击，Lumma已采取技术手段进行应对，例如从Cloudflare转移至俄罗斯服务商Selectel等替代云设施，以更有效地伪装和隐藏其恶意流量。

🌐 Lumma的传播渠道多样且隐蔽，包括利用虚假破解工具和密钥生成器推广、通过入侵网站植入虚假验证码页面执行内存加载（ClickFix技术）、在GitHub仓库中伪装成游戏外挂分发，以及在YouTube/Facebook等社交媒体平台推广破解软件，将用户引流至托管恶意软件的第三方网站。

⚖️ 趋势科技的分析指出，缺乏逮捕或起诉的执法行动难以有效阻止高利润的MaaS运营者，Lumma的核心成员仅将此类打击视为“需规避的常规障碍”，这凸显了当前网络犯罪打击面临的挑战。

HackerNews 编译，转载请注明出处：

Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。

运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。

当前Lumma主要通过四类渠道传播恶意软件：

虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。

趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文