黑客如何利用虚假验证码传播 Lumma Stealer 恶意软件（转）

不良行为者正在使用虚假的 Captcha 提示来分发无文件 Lumma Stealer 恶意软件，该恶意软件可以窃取加密钱包凭证网络安全公司 DNSFilter 的研究.

$ d& [. v, [5 O1 b% l该提示首先在希腊银行网站上检测到，要求 Windows 用户将其复制并粘贴到“运行”对话框中，然后按 Enter。

DNSFilter 报告称，该公司的客户在三天内与虚假的验证码进行了 23 次交互，其中 17% 遇到提示的人完成了屏幕上的步骤，导致试图传播恶意软件。
  x; T0 R" u# O3 S+ _$ X
2 G: K$ {8 c3 h3 K! n/ B, y该恶意软件是 Lumma Stealer，根据 DNSFilter 的全球合作伙伴布道者 Mikey Pruitt 的说法，它会在受感染的设备中搜索凭证和其他敏感数据。
( N+ H$ f' v5 ~
3 a; q) p$ Z$ \/ R' }4 O$ q他告诉记者：“Lumma Stealer 会立即扫描系统中所有可以盈利的东西，包括浏览器存储的密码和 Cookie、保存的 2FA 令牌、加密货币钱包数据、远程访问凭证，甚至密码管理器库。”解密.

$ {& f1 F3 M3 N$ l2 [7 s6 S1 @普鲁特澄清说，不法分子利用窃取的数据有多种目的，通常都是为了获取金钱利益，比如身份盗窃和访问“在线账户进行金融盗窃或欺诈交易”，以及获取加密货币钱包的访问权限。
; |' O  c; S8 W- z# q3 U, V
据普鲁特称，Lumma Stealer 的影响力非常广泛，可以在各种各样的网站上找到。
. u' }5 f$ i4 H" G" J
- Z7 U% k% ^( W8 i2 E5 v  n! B他解释说：“虽然我们无法估算通过这一途径可能造成的损失，但这种威胁可能存在于非恶意网站上。这使得在出现可疑情况时保持警惕变得极其危险，也至关重要。”
, |5 }2 u1 N: k7 Q& L! P  O; w
恶意软件即服务
$ X& ]3 [# Y$ R; M/ w/ J5 N5 ~Lumma Stealer 不仅是恶意软件，而且是恶意软件即服务 (MaaS) 的一个例子。安全公司已报告它是近年来恶意软件攻击增多的罪魁祸首。
& {5 D( i; p% C* X3 J
# q- w  |+ V' F% t& h6 @7 U据 ESET 恶意软件分析师 Jakub Tomanek 称，Lumma Stealer 背后的运营者开发了其功能，完善了其逃避恶意软件检测的能力，同时还注册了域名来托管该恶意软件。

他告诉记者：“他们的主要目标是保持服务运营和盈利，从关联公司收取月度订阅费，从而有效地将 Lumma Stealer 运营为一个可持续的网络犯罪业务。”解密.
6 U2 n# s! C) `
由于网络犯罪分子无需开发恶意软件和任何底层基础设施，因此 Lumma Stealer 等 MaaS 一直很受欢迎。
! \9 }. z0 M3 p# q' I+ |
& S' D, n  `. q5 月，美国司法部查封了五个互联网域名不法分子利用这些域名来操作 Lumma Stealer 恶意软件，而微软则私下关闭了 2,300 个类似的域名。
( |+ V% Q& ^& c& A7 N9 X
7 A- m5 D8 |. }: p! _& c; E- S然而，有报道称，Lumma Stealer 自 5 月以来再次出现，并趋势科技七月分析数据显示，6月至7月期间“被攻击账户数量稳步恢复到正常水平”。

Lumma Stealer 的吸引力之一在于其订阅费用（通常为月费）相对于潜在收益而言较为便宜。
1 `. o5 \8 Y1 _4 c: s
/ \# O8 h: C* T* V2 T0 L: o7 |Darktrace 安全与人工智能战略副总裁 Nathaniel Jones 表示：“这种复杂的信息窃取程序在暗网论坛上的售价仅为 250 美元，它专门针对网络犯罪分子最关心的内容——加密货币钱包、浏览器存储的凭据和双因素身份验证系统。”
6 O4 Y6 m$ A: n/ T* Q+ J
9 m4 _( d) a9 ]) l3 u/ i* W琼斯告诉解密Lumma Stealer 漏洞的规模“令人震惊”，2023 年估计损失达 3650 万美元，两个月内有 40 万台 Windows 设备受到感染。
' F$ g/ K1 h1 C( Z5 M  o1 H
; _- Y( U4 D" C1 q( a“但真正令人担忧的不仅仅是数字，而是多层级的盈利策略，”他说。“Lumma 不仅窃取数据，还会系统地收集浏览器历史记录、系统信息，甚至 AnyDesk 配置文件，然后将所有数据泄露给俄罗斯控制的指挥中心。”

加剧 Lumma Stealer 威胁的事实是，被盗数据通常会直接输入专门窃取和转售凭证的“交易团队”。
) Y- x% A" u4 P4 s7 C& |# w3 U
. H2 g3 l" _4 X, _8 C琼斯补充道：“这会造成毁灭性的连锁反应，一次感染就可能导致银行账户劫持、加密货币盗窃和身份欺诈，而且这种现象在最初的入侵之后还会持续很长时间。”

) V1 e, {7 q2 T, @# N$ _虽然 Darktrace 暗示 Lumma 相关漏洞的起源或中心是俄罗斯，但 DNSFilter 指出，利用该恶意软件服务的犯罪分子可能在多个地区开展活动。

Mikey Pruitt 表示，“此类恶意活动通常会涉及来自多个国家的个人或团体，尤其是使用国际托管服务提供商和恶意软件分发平台。”
- m/ t- ~, a. v# U9 c

; d0 S1 d9 _- a- _2 @: h3 d

这帮黑客真TM无所不用其极啊，感觉得小心防范才行。

也是可以去多搞起来的啊。

这个恶意软件确实是要注意了呀

我们普通人没钱，不必担心黑客的攻击了

这些不法分子真是拼了，为了搞金钱利益竟然用虚假验证码传播 Lumma Stealer 恶意软件。

恶意软件的还是要防止了

黑客的问题我也是学习的啊。

这些黑客真的太猖狂了，现在开始要小心验证码这种东西了。

恶意软件这是要在看怎么回事