微軟在國際執(zhí)法機構(gòu)的支持下開展全球打擊行動，成功瓦解了一個從事大規(guī)模憑證竊取、金融欺詐和勒索軟件攻擊的惡意軟件分發(fā)網(wǎng)絡(luò)。此次行動針對的是Lumma Stealer（拉瑪竊密軟件），這款信息竊取類惡意軟件被數(shù)百名威脅行為者用于從近40萬臺受感染的Windows設(shè)備中竊取敏感信息。

這項協(xié)同行動由微軟數(shù)字犯罪調(diào)查部門（DCU）、美國司法部、歐洲刑警組織以及私營部門的網(wǎng)絡(luò)安全合作伙伴共同參與。各方聯(lián)手查封了2300多個域名，徹底摧毀了Lumma的基礎(chǔ)設(shè)施，切斷了攻擊者與受害者之間的聯(lián)系。

全球蔓延的惡意軟件即服務(wù)（MaaS）業(yè)務(wù)

自2022年起，Lumma Stealer就通過地下論壇作為"即插即用"解決方案向網(wǎng)絡(luò)犯罪分子兜售，可竊取密碼、信用卡號、加密貨幣錢包和銀行憑證等各種信息。其易用性和適應(yīng)性使其在威脅行為者中廣受歡迎，包括Octo Tempest等知名勒索軟件組織。

該工具通常通過網(wǎng)絡(luò)釣魚活動、惡意廣告和惡意軟件加載器傳播。在今年早些時候的一次攻擊活動中，攻擊者冒充Booking.com誘導(dǎo)受害者下載含有惡意軟件的文件，這種手法甚至能欺騙經(jīng)驗豐富的用戶。

微軟威脅情報團隊持續(xù)追蹤Lumma的活動，確認了2025年3月至5月期間的大規(guī)模感染模式。該公司分享的熱力圖顯示，北美、歐洲和亞洲部分地區(qū)是該惡意軟件的重災(zāi)區(qū)。

法律行動與基礎(chǔ)設(shè)施查封

根據(jù)微軟官方博客，5月13日微軟向美國佐治亞州北區(qū)地方法院提起訴訟，成功獲得法院命令查封與Lumma控制架構(gòu)相關(guān)的惡意域名。與此同時，美國司法部接管了核心基礎(chǔ)設(shè)施，歐洲和日本的執(zhí)法機構(gòu)也關(guān)閉了支持該行動的本地服務(wù)器。

目前已有1300多個域名被重定向至微軟控制的服務(wù)器（即"蜜罐"），這些服務(wù)器正在收集情報以保護用戶并支持后續(xù)調(diào)查。此舉切斷了惡意軟件傳輸竊取數(shù)據(jù)或接收攻擊者指令的能力。

惡意軟件背后的商業(yè)模式

Lumma不僅是一個惡意軟件，更是一項生意。它采用分級訂閱模式銷售，基礎(chǔ)版憑證竊取工具售價250美元，完整源代碼訪問權(quán)限則高達2萬美元。其創(chuàng)建者"Shamel"以創(chuàng)業(yè)公司的方式運營，使用獨特的鳥類標(biāo)志和淡化惡意意圖的標(biāo)語進行推廣。

2023年Shamel在接受安全研究人員采訪時聲稱擁有400名活躍客戶。盡管參與大規(guī)模欺詐活動，他仍公開露面，這反映出更廣泛的問題：網(wǎng)絡(luò)犯罪分子在執(zhí)法不力或缺乏國際合作的司法管轄區(qū)逍遙法外。

行業(yè)響應(yīng)與未來展望

此次打擊行動獲得了ESET、Cloudflare、Lumen、CleanDNS、BitSight和GMO Registry等多家企業(yè)的支持，各方在識別基礎(chǔ)設(shè)施、共享威脅情報或快速高效執(zhí)行查封方面發(fā)揮了重要作用。

馬薩諸塞州網(wǎng)絡(luò)安全公司Black Duck的基礎(chǔ)設(shè)施安全實踐總監(jiān)托馬斯·理查茲表示："這展現(xiàn)了執(zhí)法部門與行業(yè)合作的強大力量。搗毀該網(wǎng)絡(luò)將保護數(shù)十萬人，但同樣重要的是后續(xù)工作，要確保受害者得到警示和支持。"理查茲補充說，近年來惡意軟件即服務(wù)市場的擴張需要跨部門持續(xù)協(xié)作來限制其危害。

用戶防護建議

雖然此次行動打擊了最猖獗的網(wǎng)絡(luò)信息竊取工具之一，但Lumma只是眾多日常威脅中的一種。微軟和安全專家建議公眾：

• 謹慎處理郵件鏈接和附件
• 使用可靠的反病毒和反惡意軟件工具
• 保持操作系統(tǒng)和軟件更新
• 盡可能啟用多因素認證

Lumma Stealer因其高效和大規(guī)模作案能力深受網(wǎng)絡(luò)犯罪分子青睞。通過關(guān)閉其基礎(chǔ)設(shè)施，微軟及其合作伙伴有效削弱了惡意行為者的運作能力。但只要網(wǎng)絡(luò)犯罪仍有利可圖，這場斗爭就將持續(xù)下去。