执法部门查封与种子短语窃取恶意软件 LummaC2 相关的域名

据美国司法部称，执法机构已查封与 LummaC2 相关的关键基础设施，LummaC2 是一个恶意软件操作，其目标是全球数百万受害者，包括窃取加密钱包种子短语公告 周三。

此次查获行动是国际协调行动的一部分，涉及美国司法部、欧洲刑警组织、日本网络犯罪控制中心、微软和私人网络安全合作伙伴。

继 5 月 19 日美国司法部首次查封两个网站后，Lumma 管理员匆忙建立了三个新域名，但第二天这些域名就被查封。

微软另外已识别2025 年 3 月至 5 月期间，全球 Windows 系统感染超过 394,000 起。通过本月初提起的民事诉讼，微软数字犯罪部门查封并禁用了超过 2,300 个支持 Lumma 基础设施的域名。

美国司法部刑事部门负责人马修·加莱奥蒂 (Matthew R. Galeotti) 在一份声明中表示：“像 LummaC2 这样的恶意软件被用来窃取数百万受害者的用户登录凭证等敏感信息，以实施一系列犯罪行为，包括欺诈性银行转账和加密货币盗窃。”

恶意软件正在减少

恶意软件不再像以前那么流行了。

根据 CrowdStrike 的2025年全球威胁报告，过去五年来，随着攻击者转向网络钓鱼、社会工程、访问代理服务和信任关系滥用等更隐秘的方法，攻击已转向无恶意软件攻击。

去年，该组织检测到的攻击中有 79% 不含恶意软件，而 2019 年这一比例为 40%。

尽管如此，这并不意味着没有人愿意购买像 Lumma 这样的恶意软件即服务工具，这些工具可以让相对不成熟的威胁行为者获得高级功能。

美国联邦调查局 (FBI) 已发现仅使用 Lumma 就发生了至少 170 万起盗窃事件。

加密钱包是常见的攻击目标。本月早些时候，研究人员发现假人工智能机器人传播针对加密货币交易者的恶意软件，同时地狱火汲取者过去六个月内已从钱包中窃取了超过 900 万美元。

不断演变的盗窃行为

Lumma 于 2022 年左右推出，经过多次迭代发展，由俄罗斯开发商网上昵称“Shamel”。

Shamel 通过 Telegram 和俄语论坛公开运营，以分层服务包的形式销售 Lumma，允许买家定制、分发和追踪被盗数据。

一个值得注意的使用 Lumma 的活动涉及冒充 Booking.com 的虚假电子邮件，用于窃取登录凭据和清空银行账户。

该恶意软件还与针对教育系统、游戏社区以及医疗保健和物流等关键基础设施部门的攻击有关。其隐蔽性和灵活性使其成为 Octo Tempest 等知名勒索软件组织的首选工具。

微软表示，它正在持续监控 Lumma 的新变种，并警告称，即使其核心基础设施已被拆除，该恶意软件仍然是一个强大的威胁。

编辑塞巴斯蒂安·辛克莱