恶意软件传播的新方式
根据网络安全公司DNSFilter的研究,恶意行为者正在利用虚假验证码提示来传播无文件的Lumma Stealer恶意软件。该恶意软件首次在一个希腊银行网站上被发现,提示要求Windows用户将其复制并粘贴到运行对话框中,然后按下回车键。
DNSFilter报告称,该公司的客户在三天内与虚假验证码互动了23次,其中17%的人完成了屏幕上的步骤,导致恶意软件的尝试投递。
Lumma Stealer的功能与影响
DNSFilter的全球合作伙伴推广专员Mikey Pruitt解释说,Lumma Stealer是一种恶意软件,旨在搜索感染设备上的凭据和其他敏感数据。他告诉Decrypt:“Lumma Stealer会立即扫描系统,寻找任何可以变现的东西——包括浏览器存储的密码和cookie、保存的双重身份验证令牌、加密货币钱包数据、远程访问凭据,甚至密码管理器的保险库。”
Pruitt澄清说,恶意行为者利用窃取的数据进行各种目的,通常都归结为经济利益,例如身份盗窃和通过“在线账户进行金融盗窃或欺诈交易”,以及获取加密货币钱包的访问权限。
传播途径与风险
Pruitt表示,Lumma Stealer的传播范围广泛,可以在各种网站上找到。“虽然我们无法具体说明通过这一途径可能损失了多少,但这一威胁可能存在于非恶意网站上,”他解释道。“这使得它极其危险,重要的是要在事情看起来可疑时保持警惕。”
Lumma Stealer不仅是一种恶意软件,还是恶意软件即服务(MaaS)的一个例子,安全公司报告称,这种模式在近年来导致了恶意软件攻击的增加。
网络犯罪的商业化
根据ESET恶意软件分析师Jakub Tomanek的说法,Lumma Stealer背后的运营者不断开发其功能,完善其规避恶意软件检测的能力,同时注册域名来托管恶意软件。他告诉Decrypt:“他们的主要目标是保持服务的运营和盈利,从附属机构收取每月订阅费用——有效地将Lumma Stealer作为一个可持续的网络犯罪业务进行运营。”
由于它使网络犯罪分子无需开发恶意软件和任何基础设施,像Lumma Stealer这样的MaaS模式已被证明极具吸引力。今年5月,美国司法部查封了五个恶意行为者用于操作Lumma Stealer恶意软件的互联网域名,而微软则私下关闭了2300个类似的域名。
经济损失与未来威胁
然而,报告显示,自5月以来,Lumma Stealer已重新出现,Trend Micro在7月的分析中显示,“在6月和7月之间,目标账户的数量稳步恢复到正常水平。”Lumma Stealer的吸引力部分在于其订阅费用相对较低,通常是每月收费,相对于可能获得的收益而言。
在暗网论坛上,价格低至250美元,这种复杂的信息窃取者专门针对网络犯罪分子最关心的内容——加密货币钱包、浏览器存储的凭据和双重身份验证系统。”
Darktrace的安全与人工智能战略副总裁Nathaniel Jones表示,Lumma Stealer的利用规模“令人震惊”,2023年估计损失达到3650万美元,并且在两个月内感染了40万台Windows设备。
“但真正令人担忧的不仅仅是数字——而是多层次的货币化策略,”他说。“Lumma不仅窃取数据,它系统性地收集浏览历史、系统信息,甚至AnyDesk配置文件,然后将所有信息传输到俄罗斯控制的指挥中心。”
Lumma Stealer的威胁加剧的原因在于,窃取的数据通常直接被输入到“流量团队”,这些团队专门从事凭据的盗窃和转售。“这造成了一个毁灭性的级联效应,单次感染可能导致银行账户劫持、加密货币盗窃和身份欺诈,这种情况在初次入侵后仍会持续,”Jones补充道。
虽然Darktrace建议Lumma相关的攻击可能源自俄罗斯,但DNSFilter指出,利用该恶意软件服务的恶意行为者可能来自多个地区。Pruitt表示:“这种恶意活动通常涉及来自多个国家的个人或团体,”并补充说,“这在使用国际托管服务提供商和恶意软件分发平台时尤其普遍。”
