深度剖析LummaC2：被DOJ查封的信息窃取恶意软件技术解析

查找币:余老师 | 学术研究 | 2026-05-10 00:12 | 2 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 背景：一场针对信息窃取基础设施的跨国打击 2025年5月21日，美国司法部（DOJ）联合微软及多国执法机构，对臭名昭著的信息窃取恶意软件LummaC2的核心基础设施实施了精准查封。此次行动共查封5个关键域名及其子域名，这些域名均为LummaC2的基础运营节点。执法机构成功定位并控制了其背后的2,300多个站点，间接打击了大量依赖此工具的下游攻击团伙。据FBI披露，LummaC2至少已被用于实施超过170万起信息窃取攻击，目标涵盖浏览器自动填充信息、电子邮件与银行账户登录凭据、加密钱包助记词等。查封行动分阶段进行：政府于5月19日查封了两个域名；5月20日，LummaC2管理员通知用户新增了三个替代域名；次日，这三个域名同样被查封。 ## LummaC2：MaaS模式下的信息窃取利器 LummaC2（又名Lumma Stealer）是一种用C语言编写、活跃于地下市场的信息窃取型恶意软件（info-stealer）。自2022年首次出现以来，其通过MaaS（恶意软件即服务）模式运营，显著降低了技术门槛，迅速成为网络犯罪分子的首选工具。该恶意软件由化名“Shamel”（亦称“Lumma”）的开发者在俄语黑客论坛上售卖，并通过Telegram群组与“客户”保持沟通。Lumma Stealer维护着强大的C2基础设施，核心攻击目标锁定为加密钱包和浏览器中的双因素认证（2FA）插件，旨在从受害者设备中窃取各类敏感信息。根据FBI与CISA的联合披露，仅2024年4月至6月，地下市场就出现了2.1万条LummaC2日志，较同期增长71.7%。截至2025年5月，该木马仍活跃于美国多个关键基础设施行业。 ## 核心传播方式：多层混淆与社会工程学的结合 LummaC2的传播策略高度多样化，主要采用以下技术手段： - **钓鱼邮件**：冒充知名品牌或服务，发送带有恶意链接或附件的邮件，诱导用户跳转到仿冒网站或恶意服务器。 - **恶意广告**：通过搜索引擎广告投放，伪装成Chrome更新或常用软件下载页面，诱导用户访问钓鱼网站。 - **木马程序捆绑**：将Lumma Stealer嵌入盗版软件安装包（如“破解版”软件），在用户不知情下静默执行，通过文件分享平台传播。 - **混淆技术**：使用大量混淆字符串或与其他恶意软件协同使用，规避杀毒软件与终端检测系统（EDR），加大检测难度。值得关注的是，LummaC2还会通过伪造的CAPTCHA页面传播。攻击者诱导用户点击“我不是机器人”按钮后，执行隐藏在剪贴板中的恶意命令。用户按所谓“验证流程”运行该命令时，实际上执行了一个经过Base64编码的PowerShell脚本，用于下载并运行Lumma的恶意代码。此外，该恶意软件集成了ClipBanker模块。一旦用户复制加密钱包地址，该模块会自动替换为攻击者控制的钱包地址，从而转移用户资产。 ## 运行机制：高度自动化的信息窃取流水线 LummaC2的运行机制高度自动化，主要分为以下几个阶段： ### 1. 感染部署攻击者通过钓鱼邮件、伪装下载、漏洞利用等方式将LummaC2的载荷传播给用户。当用户被诱导点击弹窗中的“是”按钮时，恶意程序会解密并连接至预设的C2服务器。一旦被执行，LummaC2在后台悄无声息地启动，开始窃取信息。 ### 2. 信息收集 LummaC2窃取的内容涵盖多个维度： - **本机信息**：包括Lumma版本号、Lumma ID、硬件ID、屏幕分辨率、系统语言、CPU信息和内存大小等，用于识别受害者特征。 - **浏览器数据**：从主流浏览器（Chrome、Firefox、Edge、Opera等）中提取自动填充信息、保存的密码、浏览历史记录及Cookies。 - **加密钱包**：针对50多种加密钱包扩展插件，包括MetaMask、Phantom、Ledger Live、Exodus、Atomic Wallet等，窃取助记词、私钥及钱包配置文件。 - **2FA插件**：从Authy、Google Authenticator、Microsoft Authenticator等双因素认证应用中提取配置文件，绕过账户二次验证。 - **系统凭证**：通过访问Windows凭据管理器，窃取存储的本地与网络登录凭证。 - **电子邮件与FTP客户端**：从Outlook、Thunderbird等邮件客户端及FileZilla等FTP客户端中提取账户凭据。 ### 3. 数据外泄收集到的信息经过加密后，通过HTTP POST请求发送至C2服务器。LummaC2支持多种数据外泄方式，包括直接上传至攻击者控制的服务器、通过Telegram Bot发送至指定频道，或上传至第三方文件托管服务。 ### 4. 日志交易与二次利用 C2服务器将收集的日志打包出售给地下市场买家。这些日志中，加密钱包助记词和银行凭证通常以更高价格交易。攻击者利用这些凭证实施账户接管、加密货币盗窃及身份欺诈等后续攻击。 ## 技术防御与缓解建议针对LummaC2的攻击特征，建议采取以下防御措施： 1. **强化终端检测**：部署支持行为分析的EDR系统，监控PowerShell异常执行、可疑进程创建及非预期网络连接。 2. **实施应用白名单**：限制非授权软件的执行，特别是从文件分享平台下载的可执行文件。 3. **加强用户教育**：针对钓鱼邮件、伪造CAPTCHA页面及恶意广告进行专项培训，提升用户安全意识。 4. **启用多因素认证**：除2FA外，推荐使用硬件安全密钥（如YubiKey）作为更强认证手段。 5. **定期审计凭证**：定期检查并轮换重要账户密码，监控异常登录行为。 6. **隔离敏感数据**：将加密钱包助记词存储于离线设备或硬件钱包，避免在浏览器中保存。 ## 结语 LummaC2的查封行动展示了国际合作在打击网络犯罪中的关键作用。然而，MaaS模式的持续演进意味着类似威胁不会消失。对于Web3用户而言，保护私钥与助记词的安全不仅是技术问题，更是资产保全的核心防线。本文由查找币安全团队整理发布

深度剖析LummaC2：被DOJ查封的信息窃取恶意软件技术解析

查找币安全研究院

主题延伸阅读