微軟在國際執法機構的支持下開展全球打擊行動，成功瓦解了一個從事大規模憑證竊取、金融欺詐和勒索軟件攻擊的惡意軟件分發網絡。此次行動針對的是Lumma Stealer（拉瑪竊密軟件），這款信息竊取類惡意軟件被數百名威脅行為者用于從近40萬臺受感染的Windows設備中竊取敏感信息。

這項協同行動由微軟數字犯罪調查部門（DCU）、美國司法部、歐洲刑警組織以及私營部門的網絡安全合作伙伴共同參與。各方聯手查封了2300多個域名，徹底摧毀了Lumma的基礎設施，切斷了攻擊者與受害者之間的聯系。

全球蔓延的惡意軟件即服務（MaaS）業務

自2022年起，Lumma Stealer就通過地下論壇作為"即插即用"解決方案向網絡犯罪分子兜售，可竊取密碼、信用卡號、加密貨幣錢包和銀行憑證等各種信息。其易用性和適應性使其在威脅行為者中廣受歡迎，包括Octo Tempest等知名勒索軟件組織。

該工具通常通過網絡釣魚活動、惡意廣告和惡意軟件加載器傳播。在今年早些時候的一次攻擊活動中，攻擊者冒充Booking.com誘導受害者下載含有惡意軟件的文件，這種手法甚至能欺騙經驗豐富的用戶。

微軟威脅情報團隊持續追蹤Lumma的活動，確認了2025年3月至5月期間的大規模感染模式。該公司分享的熱力圖顯示，北美、歐洲和亞洲部分地區是該惡意軟件的重災區。

法律行動與基礎設施查封

根據微軟官方博客，5月13日微軟向美國佐治亞州北區地方法院提起訴訟，成功獲得法院命令查封與Lumma控制架構相關的惡意域名。與此同時，美國司法部接管了核心基礎設施，歐洲和日本的執法機構也關閉了支持該行動的本地服務器。

目前已有1300多個域名被重定向至微軟控制的服務器（即"蜜罐"），這些服務器正在收集情報以保護用戶并支持后續調查。此舉切斷了惡意軟件傳輸竊取數據或接收攻擊者指令的能力。

惡意軟件背后的商業模式

Lumma不僅是一個惡意軟件，更是一項生意。它采用分級訂閱模式銷售，基礎版憑證竊取工具售價250美元，完整源代碼訪問權限則高達2萬美元。其創建者"Shamel"以創業公司的方式運營，使用獨特的鳥類標志和淡化惡意意圖的標語進行推廣。

2023年Shamel在接受安全研究人員采訪時聲稱擁有400名活躍客戶。盡管參與大規模欺詐活動，他仍公開露面，這反映出更廣泛的問題：網絡犯罪分子在執法不力或缺乏國際合作的司法管轄區逍遙法外。

行業響應與未來展望

此次打擊行動獲得了ESET、Cloudflare、Lumen、CleanDNS、BitSight和GMO Registry等多家企業的支持，各方在識別基礎設施、共享威脅情報或快速高效執行查封方面發揮了重要作用。

馬薩諸塞州網絡安全公司Black Duck的基礎設施安全實踐總監托馬斯·理查茲表示："這展現了執法部門與行業合作的強大力量。搗毀該網絡將保護數十萬人，但同樣重要的是后續工作，要確保受害者得到警示和支持。"理查茲補充說，近年來惡意軟件即服務市場的擴張需要跨部門持續協作來限制其危害。

用戶防護建議

雖然此次行動打擊了最猖獗的網絡信息竊取工具之一，但Lumma只是眾多日常威脅中的一種。微軟和安全專家建議公眾：

• 謹慎處理郵件鏈接和附件
• 使用可靠的反病毒和反惡意軟件工具
• 保持操作系統和軟件更新
• 盡可能啟用多因素認證

Lumma Stealer因其高效和大規模作案能力深受網絡犯罪分子青睞。通過關閉其基礎設施，微軟及其合作伙伴有效削弱了惡意行為者的運作能力。但只要網絡犯罪仍有利可圖，這場斗爭就將持續下去。