HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。 联邦调查局在周一发布的公告中称，正在申请相关许可的个人和企业成为钓鱼邮件的攻击目标。这些邮件通常包含详细、准确的信息，“包括房产地址、案件编号，以及市县官员的真实姓名”。 网络犯罪分子冒充市政官员或规划委员会成员，以欺诈发票为由，要求受害者通过电汇或加密货币支付款项。 联邦调查局提醒民众在回复前务必核实邮件地址，指出已发现多封恶意邮件使用 @usa.com 地址，而非政府官方的 .gov 域名。 犯罪分子利用公开可获取的许可信息，使钓鱼邮件看起来真实可信。 许多邮件使用市政信头，措辞专业，看上去如同真实的规划文件。部分钓鱼邮件详细提及审批流程、规划委员会程序、合规要求及相关条例。 多数邮件要求在线支付，并以威胁口吻制造紧迫感。联邦调查局给出的建议是：务必查询当地县或市政府官网，拨打网站公布的电话核实任何收费信息。 此类欺诈邮件是近期针对美国受害者的新型诈骗手段之一。2024 年，网络犯罪分子从美国人手中窃取超过 120 亿美元。美国近期宣布多项措施，不仅旨在捣毁背后的犯罪组织，还要追回赃款并返还给受害者。 人工智能公司也发出警告，称网络犯罪分子正利用其工具，让非英语母语的诈骗者能更轻松地撰写通顺、逼真的钓鱼邮件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了网络犯罪论坛 LeakBase，该论坛是网络犯罪分子买卖黑客工具和被盗数据的主要平台。 此次查封行动是由欧洲刑警组织协调的国际联合行动 “Leak 行动” 的一部分，共有 14 个国家的执法机构参与。 3 月 3 日至 4 日，FBI 与执法人员查封了 LeakBase 的两个域名、张贴查封公告，并在收集更多证据后向该论坛成员发出警告。 美方及澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙、英国等国警方执行了搜查令、实施逮捕并进行问询。 LeakBase 域名（leakbase [.] la）现已显示公告：“本网站已由美国联邦调查局（FBI）在国际执法行动中查封。” 查封公告同时指出，该论坛数据库及所有内容（包括 IP 日志和私信）将作为证据用于后续调查。 公告称：“论坛所有内容，包括用户账号、帖子、积分信息、私信和 IP 日志均已固定并保存，用于取证。任何试图访问、修改或干扰本网站的行为都可能构成额外刑事犯罪。本次行动得益于国际执法部门及私营部门的协作，合作伙伴如下。” LeakBase 查封公告（来源：BleepingComputer） 该域名的 DNS 服务器已切换为 ns1.fbi.seized.gov 和 ns2.fbi.seized.gov，为 FBI 查封域名时使用的官方服务器。 欧洲刑警组织表示：“3 月 3 日，执法部门在多国司法管辖区开展协同行动，包括逮捕、入户搜查和上门约谈。全球共开展约 100 次执法行动，针对平台 37 名最活跃用户采取措施。” “3 月 4 日，当局进入技术关停阶段，查封论坛域名并替换为执法公告页面。行动现已进入预防阶段，旨在震慑后续犯罪活动，并警示参与网络犯罪的后果。” LeakBase 自 2021 年运营，由 ARES 威胁组织支持创立；在 Breached 黑客论坛关闭后，其用户量逐步增长至 14.2 万以上。 该论坛免费注册，提供数据库访问、数据泄露交易、漏洞利用工具及各类黑产服务，并支持担保交易。此外，论坛还设有编程、黑客技巧、社会工程学、密码学和操作安全（OPSEC）教程板块。 本次行动前，美方已先后在 2022 年打掉 RaidForums、2023 年打掉 BreachForums 两大同类网络犯罪平台，并在 2025 年对 BreachForums 创始人完成定罪判刑。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与欧洲政府机构于周四联合发布最新技术通告，帮助企业防御自2023年起持续攻击中小型企业的Akira勒索软件团伙。这份对2024年4月原始通告的更新文件，新增了该组织在攻击中利用的策略与漏洞清单。 据通告显示，截至9月下旬，Akira团伙据信已通过勒索攻击获利超2.44亿美元。”Akira勒索软件不仅窃取资金，更破坏支撑医院、学校及企业运转的核心系统，”FBI网络部门助理主任布雷特·莱瑟曼指出，”每个受入侵的网络背后，都是真实的人群和社区在遭受冷酷网络罪犯的伤害。” 除FBI外，美国国防部、卫生与公众服务部共同参与了通告修订，欧洲刑警组织及法国、德国与荷兰执法机构也介入此次更新。该团伙据称主要瞄准制造业、教育、信息技术及医疗保健领域。 攻击手法揭秘 多家机构披露：”Akira威胁行为体通过窃取登录凭证或利用CVE-2024-40766等漏洞，获取SonicWall等VPN产品的访问权限。在某些案例中，他们通过初始访问中介或暴力破解VPN终端，凭借被盗VPN凭证实现初始入侵。此外，攻击者还部署密码喷洒技术，使用SharpDomainSpray等工具窃取账户凭证。” 该组织同时滥用AnyDesk、LogMeIn等远程访问工具维持对受害者网络的控制，并混入管理员活动以隐藏行踪。在部分事件中，应急响应人员发现Akira会卸载终端检测与响应系统。FBI警告称，在某些案例中攻击者在获得初始访问权限后仅两小时即完成数据窃取。 与Conti团伙的潜在关联 通告明确指出Akira与已解散的Conti勒索团伙存在联系，Conti在俄罗斯入侵乌克兰前夕解散前曾发动多起高关注度攻击。网络安全与基础设施安全局网络安全部门执行助理主任尼克·安德森在记者会上确认，Akira”可能与已解散的Conti勒索团伙存在某些关联”，但拒绝透露其是否与俄罗斯政府存在联系。 莱瑟曼补充说明：”虽然Akira与俄罗斯政府无直接关联，但我们确知Conti勒索团伙曾一度在俄罗斯境内活动，且部分成员可能与该组织存在联系。如同任何采用联盟计划的勒索组织，其成员可能遍布全球各地。” 重大攻击事件追溯 研究人员早前指出Akira与Conti勒索软件存在深度相似性，区块链分析显示多笔Akira赎金交易流向了Conti领导团队关联钱包。该团伙近期声称对BK Technologies公司发起网络攻击——这家佛罗里达企业为美国国防承包商及数十个警局、消防部门生产无线电设备。该公司上月向投资者预警9月遭遇安全事件，黑客窃取了非公开信息及现任/前任员工数据。 Akira还宣称对斯坦福大学、多伦多动物园、南非国有银行、外汇经纪商伦敦资本集团等数十个知名机构实施攻击。通告同时为受勒索团伙影响的K-12学校提供了专项防护建议。安德森强调：”Akira等组织带来的勒索威胁真实存在，各机构需严肃对待并迅速实施防护措施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）警告称，与Scattered Spider及ShinyHunters网络犯罪组织相关的黑客正通过攻击Salesforce平台窃取数据，并向受害组织勒索高额赎金。 该机构于周五发布紧急通告，披露了今年已影响数百家企业的一系列持续数据窃取活动。FBI将这些黑客同时标注为UNC6040和UNC6395两个编号，其常用代号分别为ShinyHunters和Scattered Spider。 在历时数月攻破多家全球大型企业后，这些黑客现正试图勒索受害组织——威胁泄露大量客户数据、商业文件等敏感信息。 FBI未透露具体有多少受害者收到要求加密货币支付的勒索邮件，但指出赎金金额差异巨大且勒索时机看似随机。部分勒索发生在数据外泄数日后，而有些则在数月后才启动。 据FBI调查，该攻击活动始于2024年10月，黑客成员通过社会工程学攻击联系呼叫中心并伪装成IT员工获取机构访问权限。此类手段通常使网络犯罪分子获得员工凭证，进而访问存有客户数据的Salesforce实例。在其他案例中，黑客还通过网络钓鱼邮件或短信控制员工手机或电脑。 今年夏季，黑客进一步升级战术，转而利用企业连接到Salesforce实例的第三方应用程序。“UNC6040威胁行为者诱骗受害者为组织Salesforce门户授权恶意关联应用，”FBI表示，“这使得他们能够直接从受侵的Salesforce客户环境中访问、查询和外泄敏感信息。” 8月，黑客开始瞄准Salesloft Drift应用程序——一款可与Salesforce集成的人工智能聊天机器人。FBI解释称，该战术使他们能够绕过多因素认证、登录监控和密码重置等传统防御措施。在某些案例中，FBI发现黑客通过在Salesforce试用账户中创建恶意应用程序，无需使用合法企业账户即可注册关联应用。 FBI提供了可用于检测是否受影响的入侵指标（IoC），并敦促企业针对相关战术对呼叫中心员工进行培训。该机构还建议企业限制几乎所有员工账户的权限，实施基于IP的访问限制，监控API使用等。 专家表示，FBI提供的信息显示了这些攻击者如何熟练滥用合法工具（如Azure云基础设施、虚拟服务器、Tor出口节点和代理服务）来隐藏其攻击源。 黑客“退休”疑云 FBI发布通告前夕，该组织曾在Telegram多次发文宣称即将“退休”，并将原因归咎于近期成员接连被捕、执法行动和刑事定罪。网络安全专家对此表示怀疑，指出网络犯罪组织常在重组更名前发布类似声明。有分析认为黑客可能意在享受近期勒索所得，之后仍将重返犯罪活动。 帕洛阿尔托网络公司Unit 42部门高级主管Sam Rubin表示，近期逮捕行动可能促使该组织暂时潜伏，但历史表明此类活动往往只是暂时的。“这类组织会分裂、改头换面后重新出现——正如ShinyHunters自身经历。即使公开活动暂停，风险依然存在，被盗数据可能再次浮现，未检测到的后门可能持续存在，攻击者可能以新名称重新出现。”他强调，“威胁组织的沉默不等于安全”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型网络威胁：暗网社区（The Com） 非传统犯罪团伙的“暗网社区”（简称The Com）正快速蔓延至11-25岁青少年群体。该去中心化网络犯罪组织潜伏在Discord、Telegram及私人论坛，融合黑客技术、暴力行为与剥削活动。 美国联邦调查局（FBI）将其列为对青少年最紧迫的网络威胁之一，指出其行为动机仅为金钱、知名度、报复和剥削，而非任何正义诉求。 过去四年间，该组织犯罪手段持续升级，成员涉足性勒索、报假警（swatting）、儿童剥削及雇凶施暴等恶性犯罪，具体攻击手段包括： 分布式拒绝服务（DDoS）攻击 SIM卡劫持 勒索软件攻击 知识产权窃取 加密货币盗窃 成员通过屏幕共享炫耀犯罪所得（部分加密货币盗窃案值超百万美元），但内部相互倾轧严重，常沦为同伙作案目标。该组织无核心领袖或统一意识形态，但维持着邪教式帮派运作模式，预估有数千名活跃/前成员。FBI单日连发三份警报揭示其三大分支： 1. 黑客分支（Hacker Com） 专精技术犯罪，掌握远控木马、钓鱼工具包、VOIP电话、加密货币洗钱等技术，实施： 大规模数据窃取 政府邮箱账户倒卖 勒索软件部署 高调网络入侵 成员以技术实力和账户余额确立地位，频发内斗导致自身成为SIM劫持、加密货币盗窃目标。 2. 现实犯罪分支（IRL Com） 从SIM劫持拓展至实体暴力服务，明码标价提供： 枪击/绑架/抢劫 持刀伤人/暴力袭击 设备损毁（bricking） 通过社交媒体招募打手，并将报假警作为管控成员手段——违抗命令者及其家人可能成为目标。 3. 勒索分支（Extortion Com） 系统化剥削未成年女性及心理脆弱者，胁迫受害者： 制作自残/虐宠/色情内容 直播自杀行为 使用人肉搜索（doxxing）、报假警及现实暴力操控受害人，犯罪素材在组织内传播以持续勒索。主要通过青少年常用社交平台/游戏应用锁定10-17岁目标。 FBI安全建议 监督未成年人网络活动 避免公开隐私信息/含未成年人影像 启用多重验证及隐私设置 拒付勒索赎金（可能加剧侵害） 警惕行为突变、自残倾向、隐蔽网络关系等风险信号。立即通过FBI网络犯罪投诉中心或国家失踪与受虐儿童中心（NCMEC）举报，紧急情况拨打911。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）近日查封多个盗版游戏平台。亚特兰大分局宣布查没nsw2u.com、nswdl.com、game-2u.com、bigngame.com、ps4pkg.com、ps4pkg.net及mgnetu.com等网站，并在页面展示执法通告。FBI声明称“已同步摧毁这些网站的技术设施”。 调查显示，过去四年间，这些平台在热门游戏正式发售前数周便提供盗版资源。仅2025年2月28日至5月28日期间，主要下载渠道的非法下载量就达320万次，造成约1.7亿美元经济损失。此次行动得到荷兰执法部门协助。 查封引发玩家群体强烈反应，其中nsw2u因允许用户在破解版任天堂Switch主机上运行盗版游戏而广受欢迎，该平台同时提供PC游戏下载。2025年5月，欧盟将nsw2u列入假冒与盗版监控名单，指出其运营商持续无视版权方下架要求。今年2月该网站全球访问量达230万次，英国、西班牙等六国已实施访问封锁。 行业背景显示，2021年代表任天堂、微软等巨头的娱乐软件协会（ESA）曾向美国贸易代表办公室举报nsw2u公然漠视版权通知。近三年欧美执法机构持续打击盗版内容：德国去年逮捕知名盗版电影网站Movie2k幕后运营者；欧洲刑警组织去年11月在一次大规模行动中逮捕11名非法流媒体网络嫌犯。索尼与任天堂未回应是否参与本次行动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）就Badbox 2.0僵尸网络发布安全警报后，敦促智能家居用户警惕联网设备中的入侵指标（IoCs）。 该执法机构在公共服务公告（PSA）中称，威胁行为者要么在用户购买前给设备预装恶意软件，要么通过设置过程中必须下载的含后门“必要应用”实施感染。受影响设备主要包括电视流媒体设备、数字投影仪、售后车辆信息娱乐系统、电子相框等产品。 公告补充道：“一旦这些受感染的物联网设备接入家庭网络，便可能沦为Badbox 2.0僵尸网络的一部分，成为已知用于恶意活动的住宅代理服务节点。” Badbox 2.0是原始Badbox僵尸网络在2024年遭打击后出现的第二代变种。与前代相同，它主要针对安卓系统产品。FBI指出：“Badbox 2.0僵尸网络由数百万受感染设备组成，其维护的众多代理服务后门被网络犯罪分子出售或免费提供，用于实施各类犯罪活动。” 公告特别警示用户需警惕两类设备：要求禁用Google Play Protect安全设置的设备，以及宣传具备“解锁”或“免费访问内容”功能的通用电视流媒体设备。同时建议用户避免使用非官方应用市场和陌生品牌产品，若发现无法解释的可疑网络流量应立即采取行动。 为降低网络风险，FBI建议家庭互联网用户采取以下措施： 监控家庭网络的互联网流量 检查所有接入家庭网络的物联网设备是否存在可疑活动 避免从宣传免费流媒体内容的非官方市场下载应用 保持所有操作系统、软件和固件更新，优先修补防火墙漏洞及暴露于互联网的系统中已知被利用的漏洞 据Human Security早前监测，2023年10月的原始Badbox活动中已发现74,000台安卓手机、平板和联网电视盒存在感染迹象。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）发布警告称，自2022年起活跃的“Silent勒索组织”，简称SRG，又名月蛾、话痨蜘蛛、UNC3753，持续利用IT主题社会工程学通话及回拨式钓鱼邮件攻击美国律师事务所，通过获取系统远程访问权限窃取敏感数据实施勒索。该组织曾参与“BazarCall”恶意活动，并为Ryuk和Conti勒索软件攻击提供初始渗透支持。 FBI在警报中指出：“尽管该组织历史上攻击过多个行业企业，但自2023年春季起持续锁定美国律所，主要瞄准法律行业数据的高度敏感性。”最新监测显示，截至2025年3月，攻击者开始冒充IT支持人员致电员工，诱骗其开放远程访问权限，随后使用WinSCP、Rclone等工具窃取数据，多数情况下无需管理员权限即可得手。这种新型战术虽近期才出现，但已导致多起成功入侵事件。 得手后，该组织通过匿名邮件威胁出售或公开数据，甚至直接致电受害企业员工施压谈判。虽然运营着数据泄露网站，但FBI发现其威胁公示数据的行为存在反复。该组织攻击活动痕迹极少，常借助合法远程工具规避杀毒软件检测。典型攻击迹象包括：未经授权下载Zoho Assist/AnyDesk等工具、异常的WinSCP/Rclone外联流量、匿名组织的勒索来电/邮件，以及催促收件人致电取消订阅的钓鱼邮件。 报告最后建议：“实施基础防护措施，包括保持警惕、使用强密码、多因素认证及安装杀毒软件。针对静默勒索集团应重点采取以下措施：开展反钓鱼培训、制定IT人员身份核验规范、定期备份数据、全员启用双因素认证。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场由全球执法机构和私营企业联盟发起的协同行动成功瓦解了与信息窃取软件Lumma（又名LummaC或LummaC2）相关的网络基础设施，查封了2,300个充当命令与控制（C2）主干网络的域名。这些域名被用于控制数百万台受感染的Windows系统。 美国司法部在声明中指出：“LummaC2等恶意软件被部署用于窃取数百万受害者的敏感信息（如用户登录凭证），以实施包括欺诈性银行转账和加密货币盗窃在内的多种犯罪。”被没收的基础设施通过附属机构和其他网络犯罪分子在全球范围内实施攻击。自2022年底活跃的Lumma Stealer估计已被用于至少170万次信息窃取活动，目标包括浏览器数据、自动填充信息、登录凭证和加密货币助记词等。美国联邦调查局（FBI）已追踪到约1000万例感染事件。 此次查封影响了五个作为管理员和付费客户登录面板的域名，有效阻止了其继续入侵计算机和窃取受害者信息。欧洲刑警组织透露：“2025年3月16日至5月16日期间，微软在全球范围内识别出超过394,000台感染Lumma恶意软件的Windows计算机”，并称此次行动切断了恶意工具与受害者之间的通信。该机构将Lumma描述为“全球最具威胁性的信息窃取软件”。 微软数字犯罪调查部门（DCU）联合ESET、BitSight、Lumen、Cloudflare、CleanDNS和GMO Registry等网络安全公司，摧毁了构成Lumma基础设施主干的约2,300个恶意域名。DCU助理总法律顾问Steven Masada表示：“Lumma的主要开发者来自俄罗斯，使用网络化名‘Shamel’。他通过Telegram和其他俄语聊天论坛销售不同层级的服务——网络犯罪分子可根据购买的服务等级定制恶意软件、添加隐藏和分发工具，并通过在线门户追踪窃取的信息。” 这款以恶意软件即服务（MaaS）模式运营的窃取工具，提供从250至1000美元不等的订阅服务，开发者还提供20,000美元套餐以获取源代码和转售权。ESET补充说明：“基础套餐包含基本过滤和日志下载功能，高级套餐则提供自定义数据收集、规避工具和新功能优先使用权，最昂贵的套餐强调隐蔽性和适应性，提供独特构建生成和降低检测率功能。” 近年来，Lumma通过日益流行的点击修复（ClickFix）等传播方式成为知名威胁。微软追踪到该窃取软件背后的威胁组织Storm-2477，指出其分发基础设施具有“动态弹性”特征，综合运用钓鱼攻击、恶意广告、路过式下载、可信平台滥用和Prometheus等流量分发系统。Cato Networks周三发布的报告披露，疑似俄罗斯威胁组织正利用Tigris对象存储、Oracle云基础设施（OCI）对象存储和Scaleway对象存储托管虚假reCAPTCHA页面，通过点击修复式诱导下载Lumma Stealer。 该恶意软件的显著特征包括：采用九组频繁变更的一级域名和托管在Steam个人资料/Telegram频道的备用C2构成多层级基础设施；通过付费安装（PPI）网络或流量销售商分发；通常与商业软件的破解版捆绑传播；运营者创建了带评级系统的Telegram黑市供附属机构直接销售数据；核心二进制文件采用低级虚拟机（LLVM核心）、控制流扁平化等高级混淆技术阻碍静态分析；2024年4月至6月期间网络犯罪论坛上出现超21,000个Lumma日志销售帖，同比增幅达71.7%。 微软强调：“Lumma Stealer的分发基础设施灵活且适应性强，运营者持续优化技术手段——轮换恶意域名、利用广告网络和合法云服务规避检测。所有C2服务器都隐藏在Cloudflare代理之后，这种动态架构既能最大化攻击成功率，又增加了追踪难度。”云基础设施公司Cloudflare表示，其在恶意C2服务器和黑市域名前部署了新型验证警告页，并对相关账户采取封禁措施。Cloudforce One负责人Blake Darché指出：“虽然此次行动对全球最大信息窃取基础设施造成重大打击，但与其他威胁组织类似，Lumma运营者将调整策略卷土重来。” 2025年1月安全研究人员g0njxa的采访显示，Lumma开发者曾表示计划在次年秋季停止运营：“我们为当前成果付出了两年努力，这已成为日常生活而不仅仅是工作。” 该声明暗示着网络犯罪生态中恶意软件即服务模式的商业化程度已达到新高度。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文