坏演员正在利用虚假的验证码提示来传播无文件的Lumma Stealer恶意软件，依据网络安全公司DNSFilter的研究。

首次在一个希腊银行网站上被发现，该提示要求Windows用户将其复制并粘贴到运行对话框中，然后按下回车键。

DNSFilter报告称，该公司的客户在三天内与虚假验证码互动了23次，17%遇到该提示的人完成了屏幕上的步骤，导致恶意软件的尝试交付。

什么是Lumma Stealer？

DNSFilter的全球合作伙伴布道者Mikey Pruitt解释说，Lumma Stealer是一种恶意软件，搜索感染设备上的凭据和其他敏感数据。

“Lumma Stealer立即扫描系统，寻找任何可以变现的东西——浏览器存储的密码和cookie、保存的双因素认证令牌、加密货币钱包数据、远程访问凭据，甚至密码管理器的保险库，”他告诉Decrypt。

Pruitt澄清说，坏演员使用窃取的数据用于多种目的，这些目的通常归结为经济利益，例如身份盗窃和访问“在线账户进行财务盗窃或欺诈交易”，以及获取加密货币钱包。

根据Pruitt的说法，Lumma Stealer的传播范围广泛，可以在各种网站上找到。

“虽然我们无法说明通过这一途径可能损失了多少，但这种威胁可能存在于非恶意网站上，”他解释道。“这使得它极其危险，并且在事情看起来可疑时，重要的是要保持警惕。”

恶意软件即服务

Lumma Stealer不仅仅是恶意软件，还是恶意软件即服务（MaaS）的一个例子，安全公司报告称近年来恶意软件攻击的增加与此有关。

根据ESET恶意软件分析师Jakub Tomanek的说法，Lumma Stealer背后的操作者开发其功能，完善其规避恶意软件检测的能力，同时注册域名来托管恶意软件。

他告诉Decrypt，“他们的主要目标是保持服务的运营和盈利，从附属机构收取每月订阅费——有效地将Lumma Stealer作为一个可持续的网络犯罪业务来运营。”

由于它免除了网络犯罪分子开发恶意软件和任何基础设施的需要，像Lumma Stealer这样的MaaS已被证明极其受欢迎。

在5月，美国司法部查封了五个互联网域名，这些域名被坏演员用来操作Lumma Stealer恶意软件，而微软私下关闭了2300个类似的域名。

然而，报告显示，自5月以来Lumma Stealer已重新出现，Trend Micro在7月的分析中显示，“目标账户的数量在6月和7月之间稳步恢复到其正常水平”。

恶意软件的全球传播

Lumma Stealer的吸引力部分在于，相对于潜在的收益，订阅费用通常是每月的，且价格便宜。

“在暗网论坛上，价格低至250美元，这种复杂的信息窃取者专门针对网络犯罪分子最关心的内容——加密货币钱包、浏览器存储的凭据和双因素认证系统，”Darktrace的安全与人工智能战略副总裁Nathaniel Jones说。

Jones告诉Decrypt，Lumma Stealer的利用规模“令人震惊”，2023年估计损失达到3650万美元，并且在短短两个月内感染了40万个Windows设备。

“但真正令人担忧的不仅仅是数字——而是多层次的货币化策略，”他说。“Lumma不仅窃取数据，它系统地收集浏览历史、系统信息，甚至AnyDesk配置文件，然后将所有信息外泄到俄罗斯控制的指挥中心。”

Lumma Stealer的威胁加剧的一个原因是，被盗数据通常直接被输入到“流量团队”，这些团队专门从事凭据的盗窃和转售。

“这造成了一个毁灭性的级联效应，单次感染可能导致银行账户劫持、加密货币盗窃和身份欺诈，这些问题在初次泄露后仍会持续存在，”Jones补充道。

虽然Darktrace建议Lumma相关的攻击可能源自俄罗斯或与俄罗斯有关，但DNSFilter指出，利用该恶意软件服务的坏演员可能来自多个地区。

“这种恶意活动通常涉及来自多个国家的个人或团体，”Pruitt说，并补充道，这在“使用国际托管服务提供商和恶意软件分发平台时尤其普遍。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。