| 資安新聞 |
感染近40萬臺Windows電腦,微軟帶頭摧毀Lumma惡意程式網路
刊登日期:2025-05-22
資料來源:iThome
| 微軟周三(5/21)宣布,已在國際執法機構及資安業者的合作下,摧毀了已感染逾39.4萬臺Windows電腦的Lumma惡意程式網路。 使用者電腦上感染的是Lumma Stealer,它是個竊資程式,起源於同名的Lumma惡意程式即服務(Malware-as-a-Service,MaaS),其主要開發者位於俄羅斯,網路別名為Shamel,至少從2022年起便藉由Telegram與其它俄文聊天論壇提供不同等級的Lumma服務,允許買家建立自己的惡意程式版本,添加工具來隱藏或遞送它,也能透過一個入口網站來追蹤遭竊的資訊。在2023年時,Shamel曾對外透露該服務擁有400名活躍客戶。 Lumma Stealer的感染途徑很多元,從網釣郵件、惡意廣告、於受駭網站執行偷渡式下載、搭載破解或盜版軟體、濫用合法服務,或者是綑綁其它的惡意程式等。一旦進駐到受害者的電腦上,它就會企圖自各種瀏覽器或程式中竊取機密資訊,涵蓋憑證、Cookie、加密貨幣錢包、PDF檔、DOCX檔,或者是CPU、作業系統,已安裝的應用程式等系統資訊;也會嘗試安裝其它惡意程式或挖礦程式。 微軟指出,從今年的3月16日至5月16日之間,該公司發現全球有超過39.4萬臺的Windows電腦感染了Lumma;其數位犯罪部門(Digital Crimes Unit,DCU)在5月13日便提出了訴訟,並在取得法院命令之後,接管與封鎖了約2,300個惡意網域,而它們正是Lumma基礎設施的骨幹。在惡意網域被接管之後,受害裝置企圖連至C&C伺服器時,便會被導至微軟的安全伺服器。 同一期間,美國司法部也扣押了Lumma的中央指揮機構,並破壞Lumma銷售市集。根據司法部的說明,該單位扣押了5個Lumma的關鍵網域名稱,它們是Lumma的控制面板,用以讓Lumma客戶登入以部署服務及接收盜來的資訊,涉及170萬筆惡意活動紀錄。 除了美國之外,日本網路犯罪中心(Japan Cybercrime Control Center,JC3),歐洲刑警組織Europol,以及Cloudflare與ESET等資安業者,也都參與並協助了這場行動。 |
