黑客如何利用虚假验证码传播Lumma窃密木马

网络安全公司DNSFilter的研究显示，不法分子正利用虚假验证码弹窗传播无文件形式的Lumma窃密木马，该恶意软件能窃取加密货币钱包凭证。

该骗局最初在希腊某银行网站被发现，弹窗要求Windows用户将特定代码复制到运行对话框并按回车键执行。

DNSFilter报告称，其客户在三天内遭遇23次虚假验证码攻击，17%的受骗用户完成了屏幕指引步骤，导致恶意软件植入尝试。

这款名为Lumma Stealer的恶意软件会全面扫描受感染设备，盗取凭证等敏感数据。DNSFilter全球合作伙伴技术专家Mikey Pruitt向Decrypt透露：”它会立即搜刮所有可变现信息——包括浏览器保存的密码、Cookie、2FA令牌、加密货币钱包数据、远程访问凭证，甚至密码管理器库。”

Pruitt指出，攻击者将窃取数据用于身份盗窃、金融账户入侵、欺诈交易及加密货币钱包盗取等牟利行为。该恶意软件传播范围极广，可能潜伏在任何网站。”虽然无法量化具体损失，但其可寄生在正常网站上，因此对可疑迹象保持警惕至关重要。”

恶意软件即服务模式

Lumma Stealer是典型的恶意软件即服务(MaaS)案例。据ESET恶意软件分析师Jakub Tomanek介绍，其运营团队持续升级功能、增强反检测能力，并通过注册域名托管恶意程序，”核心目标是维持服务运营，通过收取月费实现可持续的网络犯罪盈利”。

这种模式免去了犯罪分子开发恶意软件的基础工作，使其持续流行。尽管美国司法部五月查封了5个运营域名，微软也下线了2300个相关域名，但趋势科技七月分析显示，其攻击量在六月至七月间已恢复至常规水平。

低成本高危害的犯罪工具

Darktrace安全与AI战略副总裁Nathaniel Jones透露：”该窃密程序在暗网论坛月租仅250美元，专门针对加密货币钱包、浏览器凭证和双因素认证系统。”2023年数据显示，该软件造成3650万美元损失，两个月内感染40万台Windows设备。

Jones强调其危害性在于多层变现策略：”不仅窃取数据，还会系统收集浏览记录、系统信息和AnyDesk配置文件，全部回传至俄罗斯控制的指挥中心。”失窃数据往往直接流入专门倒卖凭证的”traffer团队”，形成”银行账户劫持、加密货币盗窃和长期身份欺诈的连锁反应”。

虽然Darktrace推测其可能源自俄罗斯，但DNSFilter指出实际使用者可能分布多国。Pruitt表示：”此类犯罪常涉及跨国团伙，尤其当使用国际托管服务和恶意软件分发平台时。”

每日简报

每日推送头条新闻、原创内容、播客及视频

您的邮箱
立即订阅