微软公司近日宣布，在国际执法机构的密切合作下，成功破坏了一个全球性的网络犯罪集团，该集团专门使用Lumma Stealer窃密软件进行大规模的信息窃取和金融欺诈。此次行动威胁行为者们的基础设施被彻底清除，涉及的内容包括从几乎40万台受感染的Windows设备中窃取的敏感信息。这一行动不仅是对网络犯罪的有力打击，也凸显了 网络安全 领域各方合作的重要性。

此次打击行动是由微软的数字犯罪调查部门（DCU）主导，联合了美国司法部、欧洲刑警组织（Europol），以及多家网络安全公司，如ESET、Cloudflare等。行动的核心是在全球范围内查封超2300个与Lumma Stealer相关的恶意域名，从而切断了攻击者与受害者之间的联系，极大地削弱了其运营能力。

自2022年以来，Lumma Stealer通过地下市场以“即插即用”的方式出售给网络罪犯，该工具能够轻松窃取用户的密码、信用卡信息、加密货币钱包和银行账户凭证。这一恶意软件的流行完全依赖于其易用性以及提供给罪犯的非凡灵活性，使得它在如Octo Tempest等较大型勒索软件组织中得到了广泛应用。

其传播手段主要包括 网络钓鱼、恶意广告以及 恶意软件加载器。在最近的一次大型攻击中，攻击者伪装成著名网站Booking.com诱导用户下载感染有Lumma Stealer的文件，这种简单而有效的手段甚至成功欺骗了众多技术高超的用户。微软威胁情报团队对Lumma的活动进行了持续追踪，揭示了自2025年3月到5月期间，该恶意软件呈现出大规模感染的趋势。通过他们发布的热力图显示，北美、欧洲及部分亚洲地区是该恶意软件的重灾区。

对此，微软及其合作伙伴采取了多项法律行动，旨在彻底摧毁Lumma的技术基础。具体而言，微软在美国乔治亚州北区地方法院提起了诉讼，成功获得了法院命令并查封了与Lumma架构相关的恶意域名。同时，美国司法部接管了网络犯罪集团核心的基础设施，并合作欧洲和日本的执法机构，关闭了本地服务器。到目前为止，已有1300多个恶意域名被重新定向至Microsoft控制的“蜜罐”服务器，这些服务器用于收集与此类攻击相关的情报，并为后续调查提供支持。

在分析Lumma恶意软件背后的商业模式时，可以发现其不仅是单纯的恶意软件，而是一个具有商业运作模式的实体。其创建者“Shamel”实际上以企业的方式经营Lumma，采用分等级定价的订阅模式进行销售。基础版的凭证窃取工具每套仅需250美元，而得到完整源代码的访问权则要高达2万美元。更为夸张的是，Shamel在一次采访中声称其已有400名活跃客户，尽管他参与了多个重大金融欺诈活动，却依然敢于公开露面，这显示了网络犯罪分子在某些司法管辖区的横行与肆无忌惮，以及执法的巨大挑战。

此次的打击行动获得行业内广泛的支持与合作。在打击Lumma Stealer的过程中，诸多企业参与了基础设施的识别、威胁情报的共享并高效执行了查封工作。马萨诸塞州一家网络安全公司的基础设施安全实践总监托马斯·理查兹表示：“此次行动展现了执法部门与行业力量的结合是多么重要，捣毁Lumma这样的网络可以保护数以万计的用户安全，更加重要的是我们需要关注后续的支持与服务。”他指出，近年来 恶意软件即服务（MaaS） 这一市场的扩张意味着只有通过跨领域的持续合作，才能有效限制网络犯罪带来的损害。

虽然此次行动显著削弱了Lumma Stealer的威胁，但专家表示，公众仍需保持警觉。微软和众多安全专家对此给出了防护建议，包括在处理邮件链接和附件时应持谨慎态度、使用可靠的反病毒软件、确保操作系统和应用程序的及时更新、尽可能启用多因素认证等。这些措施将对用户的网络安全起到基础而有效的保护。

毫无疑问，Lumma Stealer因其高效且大规模的作案能力让其在网络犯罪中极为流行。通过此行动，微软及其合作团队有效削弱了这一恶性网络的运作能力。然而，考虑到 网络犯罪 的经济利益以及其持续存在的驱动力，这场围绕网络安全的斗争并非一时之功，而是需要各行各业共同努力与合作，才能在这个威胁不断变化的环境中建立起更为坚固的防线。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课