近期,微软在其官方博客中发布了一项重要安全警告,指出一款名为Lumma的新型恶意软件在极短时间内迅速蔓延,对全球大量Windows设备构成了严重威胁。据统计,从2025年3月16日至5月16日短短两个月内,Lumma已成功感染了超过39.4万台Windows设备。
据微软详细介绍,Lumma(也被称为LummaC2)是由臭名昭著的黑客组织Storm-2477开发的一种“恶意软件即服务”(MaaS)产品。该恶意软件的主要目的是从受害者的浏览器、加密货币钱包等应用程序中窃取敏感信息,进而实施进一步的网络犯罪活动。
Lumma通过多种复杂且隐蔽的传播手段进行分发,包括伪装成合法邮件的钓鱼攻击、诱导用户点击的恶意广告(malvertising)、利用受感染网站诱导用户下载恶意驱动、木马化的应用程序以及伪装成CAPTCHA验证的欺诈手段等。这些手段极具欺骗性,使得许多用户在毫不知情的情况下成为了Lumma的受害者。
微软特别指出,恶意广告是Lumma传播的一大途径。攻击者会利用虚假的“Notepad++下载”链接或“Chrome更新”提示,诱骗用户点击并下载包含Lumma恶意代码的文件。一旦用户中招,Lumma便会悄无声息地在系统中扎根,开始其窃取敏感信息的行动。
Lumma能够窃取的信息种类繁多,包括但不限于浏览器中的凭证和cookie(如保存的密码、会话cookie和自动填充数据)、加密货币钱包及其扩展程序的相关信息(如metaMask、Electrum和Exodus等钱包的本地文件、浏览器扩展和密钥)、各种应用程序中的数据(如电子邮件客户端、FTP客户端和Telegram应用程序中的数据)、用户文档(如.pdf、.docx或.rtf格式的文件)以及系统数据(如CPU信息、操作系统版本、系统语言和已安装的应用程序等)。这些信息对于攻击者来说具有极高的价值,可以用于实施更复杂的网络攻击或构建受害者的个人画像。
微软还提供了一张热力图,直观展示了Lumma在全球范围内的传播情况。从图中可以看出,欧洲、美国东部以及印度等多个地区是Lumma感染最为严重的区域。这些地区的用户需要格外警惕,加强自身的网络安全防护。
