近期,微软公司发布了一项安全警报,指出在2025年的3月16日至5月16日这两个月内,一款名为Lumma的信息窃取恶意软件在全球范围内迅速蔓延,成功感染了超过394,000台Windows系统设备。这一数字揭示了该恶意软件惊人的感染能力和广泛的影响力。
据悉,Lumma,亦称LummaC2,最初由黑客组织Storm-2477开发,被归类为恶意软件即服务(MaaS)的一种。它专为窃取用户的敏感信息而设计,目标包括浏览器保存的密码、加密货币钱包详情等。早在2023年11月,Lumma就曾引起过安全界的关注。
微软的安全警报特别强调了Lumma在2025年春季的卷土重来。数据显示,该恶意软件的活动在欧洲、美国东部以及印度的部分地区尤为频繁,显示出其广泛的地理分布和潜在的威胁级别。在这短短两个月的时间里,全球范围内有如此大量的Windows系统设备被感染,无疑是对网络安全的一次重大挑战。
Lumma的传播手段多样且狡猾。它利用钓鱼邮件、恶意广告(malvertising)、被黑客攻陷网站上的“路过式下载”(drive-by downloads)、伪装成合法软件的特洛伊木马应用,以及伪造的CAPTCHA验证等手段,诱骗用户下载并执行恶意代码。这些手段使得Lumma能够在用户不知情的情况下迅速扩散。
微软进一步分析了Lumma的感染能力,揭示了其能够从多种浏览器中提取保存的密码、会话cookies和自动填充数据。这包括基于Chromium内核的Chrome和Edge浏览器,以及基于Gecko内核的Firefox浏览器。Lumma还会主动搜索metaMask、Electrum和Exodus等加密货币钱包文件及相关浏览器扩展,试图窃取用户的数字货币资产。
不仅如此,Lumma的攻击范围还扩展到了VPN、邮件客户端、FTP客户端以及Telegram等应用的数据。它甚至能够窃取用户的文档文件,如PDF、DOCX和RTF格式的文件,以及系统元数据,如CPU信息和操作系统版本等。这些信息可能为后续的精准攻击或构建受害者画像提供了宝贵的数据支持。
