据安全行业观察,臭名昭著的信息窃取恶意软件Lumma在5月遭遇全球执法部门联合行动并导致逾2300个相关域名和部分基础设施被查封后,近期已经重新活跃。报道指出,尽管此前的行动对Lumma原本作为恶意软件即服务(MaaS)平台造成严重冲击,Lumma运营者很快就在XSS论坛承认受损,但表示其核心服务器未被查获,仅遭远程清空,并立即着手恢复业务。
安全厂商Trend Micro分析发现,Lumma目前的活动已基本恢复到打击前水平。该团队预测,仅在遭受打击数周后,Lumma就完成了架构重建,并重新获得网络犯罪圈的信任及活跃运作。
研究人员还披露,Lumma为规避监管已将C2流量路由从Cloudflare转移至Selectel等替代云服务,并依靠伪造破解工具、钓鱼网页、GitHub虚假项目、社交平台推广等四大渠道大规模传播。“网络遥测显示Lumma正在多平台、多渠道恢复信息窃取活动。”分析称。