微软
微软周三(5/21)宣布,已在国际执法机构及资安业者的合作下,摧毁了已感染逾39.4万台Windows电脑的Lumma恶意程式网路。
使用者电脑上感染的是Lumma Stealer,它是个窃资程式,起源于同名的Lumma恶意程式即服务(Malware-as-a-Service,MaaS),其主要开发者位于俄罗斯,网路别名为Shamel,至少从2022年起便借由Telegram与其它俄文聊天论坛提供不同等级的Lumma服务,允许买家建立自己的恶意程式版本,添加工具来隐藏或递送它,也能透过一个入口网站来追踪遭窃的资讯。在2023年时,Shamel曾对外透露该服务拥有400名活跃客户。
Lumma Stealer的感染途径很多元,从网钓邮件、恶意广告、于受骇网站执行偷渡式下载、搭载破解或盗版软体、滥用合法服务,或者是捆绑其它的恶意程式等。一旦进驻到受害者的电脑上,它就会企图自各种浏览器或程式中窃取机密资讯,涵盖凭证、Cookie、加密货币钱包、PDF档、DOCX档,或者是CPU、作业系统,已安装的应用程式等系统资讯;也会尝试安装其它恶意程式或挖矿程式。
微软指出,从今年的3月16日至5月16日之间,该公司发现全球有超过39.4万台的Windows电脑感染了Lumma;其数位犯罪部门(Digital Crimes Unit,DCU)在5月13日便提出了诉讼,并在取得法院命令之后,接管与封锁了约2,300个恶意网域,而它们正是Lumma基础设施的骨干。在恶意网域被接管之后,受害装置企图连至C&C伺服器时,便会被导至微软的安全伺服器。
同一期间,美国司法部也扣押了Lumma的中央指挥机构,并破坏Lumma销售市集。根据司法部的说明,该单位扣押了5个Lumma的关键网域名称,它们是Lumma的控制面板,用以让Lumma客户登入以部署服务及接收盗来的资讯,涉及170万笔恶意活动纪录。
除了美国之外,日本网路犯罪中心(Japan Cybercrime Control Center,JC3),欧洲刑警组织Europol,以及Cloudflare与ESET等资安业者,也都参与并协助了这场行动。