科技(Trend Micro)研究人员观察到 Lumma Stealer(又名 Water Kurita) 活动显著复苏。尽管上月针对该恶意软件核心成员的定向 dox 活动曾短暂扰乱其运营,但如今其活跃度已大幅回升。
此次复苏伴随着近几个月来最显著的恶意软件升级:浏览器指纹识别(browser fingerprinting)——这一强大的侦察能力现已直接嵌入 Lumma 的命令与控制(C&C)流程。
趋势科技指出,在 Lumma 运营者被 dox 后,地下信息窃取恶意软件生态系统经历了“重大动荡”,许多客户转向 Vidar 和 StealC 等竞争平台。但遥测数据显示其明确复苏:“自 2025 年 10 月 20 日当周起,趋势科技的遥测系统开始检测到 Lumma Stealer 相关活动显著增加。”
这表明,尽管 dox 活动引发了运营混乱,Lumma 的开发者已重新集结,并开始部署新的高级功能以巩固恶意软件的立足点。
核心升级:浏览器指纹识别融入 C&C 战术
Lumma 最显著的进化是将浏览器指纹识别纳入其 C&C 操作:“Lumma Stealer 现在将浏览器指纹识别作为命令与控制(C&C)战术的一部分。”
该技术通过部署 JavaScript 载荷收集以下信息:
- 系统与平台信息
- 硬件规格(CPU、内存、GPU)
- WebGL 和 Canvas 签名
- 音频与 WebRTC 元数据
- 网络属性
- 浏览器插件、字体、屏幕数据等
趋势科技将此战术描述为一种隐蔽的高保真画像手段:“指纹识别技术通过 JavaScript 载荷和隐蔽的 HTTP 通信收集并泄露系统、网络、硬件和浏览器数据。”
这使 Lumma 能够:
- 检测沙箱和分析环境
- 优先针对高价值受害者
- 为不同系统类型调整载荷
- 更好地规避行为检测
研究人员强调,这些行为“使 Lumma Stealer 能够维持运营连续性,评估受害者环境以指导后续行动,并逃避检测。”
持续的进程注入与升级的 C&C 工作流
报告还指出,Lumma 继续使用进程注入技术融入浏览器活动:“Lumma Stealer 利用进程注入技术,特别是通过 MicrosoftEdgeUpdate.exe 向合法的 Chrome 浏览器进程(chrome.exe )注入远程线程。”
这使恶意软件能伪装成可信浏览器进程运行——大幅降低检测痕迹并模仿正常网络流量。
趋势科技识别出升级后的 C&C 工作流,包含专用指纹识别端点:
- 恶意软件连接
<C2>/api/set_agent - 发送参数:id、token、agent
- 接收 JavaScript 指纹识别载荷
- 通过
act=log的 POST 请求回传数据
尽管有所进化,Lumma 的核心通信模型保持不变:“Lumma Stealer 保留其核心 C&C 通信结构……包括参数 uid 和 cid。”
这表明指纹识别模块是一种增强而非替代——在扩展 Lumma 能力的同时,保持与现有犯罪基础设施的向后兼容性。
运营动荡与持续威胁
报告还指出,dox 活动后 Lumma 的运营基础出现裂痕:地下可见度下降,且“多个伪造的 Telegram 账户冒充合法 Lumma Stealer 频道”,导致买家和运营者之间的混乱。
尽管面临运营动荡,趋势科技评估 Lumma 仍是持续威胁:“Lumma Stealer 仍是活跃威胁,持续针对端点,并已记录到部署 GhostSocks 作为二级载荷。”
分析师总结,运营者选择“保持低调……同时维持基本运营,可能在等待合适时机恢复全面活动。”
发表评论
您还未登录,请先登录。
登录