作者：Lisa & 23pds

编辑：Liz 

背景

2025 年 5 月 21 日，美国司法部 (DOJ) 联合微软及多国执法机构，成功查封臭名昭著的信息窃取恶意软件 LummaC2 的核心基础设施。被查封的 5 个关键域名及其子域名，均为 LummaC2 的基础运营节点，执法机构成功定位并控制了其背后的 2,300 多个站点，间接打击了大量依赖此工具的下游攻击团伙。

根据 FBI 披露，LummaC2 至少已被用于实施超过 170 万起信息窃取攻击，目标包括但不限于浏览器自动填充信息、电子邮件与银行账户登录凭据、加密钱包助记词等。此次查封行动分阶段进行：政府于 5 月 19 日查封了两个域名；5 月 20 日，LummaC2 管理员通知用户新增了三个替代域名；次日，这三个域名也被查封。

LummaC2 是什么？

LummaC2（又名 Lumma Stealer）是一种用 C 语言编写的活跃于地下市场的信息窃取型恶意软件 (info-stealer)，自 2022 年首次出现以来，迅速受到犯罪分子的青睐。它通过 MaaS 模式运营，技术门槛低，传播能力强，已被用于全球范围的各种网络攻击。

该恶意软件由名为“Shamel”（化名“Lumma”）的开发者在俄语黑客论坛上售卖，并通过 Telegram 群组与“客户”沟通。

（图源：Cyble）

Lumma Stealer 维护着一个强大的 C2 基础设施，攻击目标主要是加密钱包和浏览器中的双因素认证 (2FA) 插件，目的是从受害者设备中窃取各种敏感信息。

（图源：ASEC）

根据美国联邦调查局(FBI) 与网络安全和基础设施安全局 (CISA) 的联合披露，仅 2024 年 4 月至 6 月，地下市场就出现了 2.1 万条 LummaC2 日志，较同期增长 71.7%。截至 2025 年 5 月，该木马仍活跃于多个美国关键基础设施行业。

其核心传播方式包括：

• 钓鱼邮件：冒充知名品牌或服务发送带有恶意链接或附件的邮件，诱导用户点击，跳转到仿冒网站或恶意服务器。

• 恶意广告：通过投放搜索引擎广告，诱导用户访问伪装成 Chrome 更新或常用软件下载页面的钓鱼网站。

• 木马程序捆绑：将 Lumma Stealer 捆绑进盗版软件安装包（如“破解版”软件）中，通常在用户不知情的情况下静默执行，这类安装包常通过文件分享平台传播。

• 混淆技术：使用大量混淆字符串或与其他恶意软件协同使用，躲避杀毒软件或终端检测系统 (EDR)，加大检测难度。

此外，LummaC2 还会通过伪造的 CAPTCHA 页面传播，诱导用户点击“我不是机器人”按钮后执行隐藏在剪贴板中的恶意命令。

（图源：ASEC）

攻击者会引导用户按照所谓的“验证流程”，在系统中运行该命令，实际上这是一个经过 Base64 编码的 PowerShell 脚本，用于下载并运行 Lumma 的恶意代码。

 （图源：ASEC）

该恶意软件还集成了 ClipBanker 模块，一旦用户复制加密钱包地址，它会自动替换为攻击者控制的钱包地址，从而转移用户资产。

为什么要打击 LummaC2？

• 大规模感染与信息窃取：据报道，2025 年 3 月至 5 月期间，全球约有 39.4 万台 Windows 设备感染了 LummaC2 。该恶意软件被用于窃取浏览器数据、自动填充信息、银行服务的登录凭据以及加密货币钱包的助记词。 

  
  

• 对关键基础设施的威胁：LummaC2 的活动已扩展到美国多个关键基础设施领域，威胁到个人和组织的计算机网络安全。

  
  

• 恶意软件即服务 (MaaS) 模式：LummaC2 采用 MaaS 模式运营，网络犯罪分子可以通过订阅服务获得该恶意软件的使用权，进一步扩大了其影响力。 

  
  

• 国际合作打击网络犯罪：此次行动是美国司法部与微软、欧洲刑警组织、日本网络犯罪控制中心等国际合作伙伴联合执行的，旨在通过法律手段和技术手段共同打击跨国网络犯罪活动。

运行机制

LummaC2 的运行机制高度自动化，主要分为以下几个阶段：

1. 感染部署

攻击者通过钓鱼邮件、伪装下载、漏洞利用等方式将 LummaC2 的载荷传播给用户。当用户被诱导点击弹窗中的“是”按钮时，恶意程序就会解密并连接至预设的 C2 服务器。

（图源：CISA）

一旦被执行，LummaC2 会在后台悄无声息地启动并开始窃取信息。

（图源：Microsoft）

2. 信息收集

LummaC2 窃取的内容包括：

• 本机信息：包括 Lumma 版本号、Lumma ID、硬件 ID、屏幕分辨率、系统语言、CPU 信息和内存大小等，这些数据被组织成名为 system.txt 的文件保存在内存中。

  
  

• 加密钱包：重点针对 Binance、Electrum、Ethereum 等钱包，它会扫描系统中与这些钱包相关的敏感信息，并打包发送到 C2 服务器。

  
  

• 浏览器数据：LummaC2 会检查系统中是否安装了以下浏览器，并尝试窃取其中的敏感数据（如账户、Cookie 等）：Chrome、Chromium、Edge、Kometa、Vivaldi、Brave、Opera（稳定版 /GX/Neon）、Firefox。随后，它会进一步搜索浏览器中已安装的加密钱包插件和双因素认证 (2FA) 插件。此外，它还能够获取用户的浏览器历史记录、登录凭据、Cookies 等数据。

  
  

• 用户文档：LummaC2 会扫描 %userProfile% 目录，提取 .txt 文件，并标记为“重要文件”，上传至服务器。

调用的关键 API 包括：GetUserNameW、GetComputerNameW、cpuid 等，用于采集系统信息。

（图源：CISA）

3. 加密与上传

信息收集完成后，LummaC2 会对数据进行压缩加密，通过 HTTP POST 上传至 C2 集中处理。它支持多重备份与异步上传机制，即使部分数据传输失败，也能确保核心信息送达。在无需通信时，该程序常常只驻留于内存中，避免在磁盘中留下痕迹。当连接 C2 后，可能会进一步投放新的恶意载荷或写入文件。它还内置自我保护机制：若当前用户名和计算机名匹配特定哈希值，则自动终止运行（疑似用于避免感染开发者自身环境）。

（图源：Microsoft）

4. 数据回传与面板管理系统 (C2 Dashboard)

LummaC2 会接收来自 C2 的 JSON 配置指令，解析后将目标数据发送回服务器。攻击者可以通过 Web 控制台实时查看受害数据，进行筛选、导出或出售，并支持地理筛选、自动分类和设备指纹管理等功能。

本质上，LummaC2 是“恶意软件即服务”(MaaS) 生态系统中的一个组成部分。攻击者只需支付月费（2024 年价格为 250 美元 / 月起），即可获得不断更新的恶意软件、管理后台、技术支持和定制服务。

（图源：Cyble）

服务内容包括：

• Telegram 快速响应群组；

• 自动化部署工具；

• 加密通信及匿名支付（多为 USDT、XMR 等）。

（图源：Cyble）

该模式助长了大量“非技术”犯罪者参与网络攻击，进一步助长了网络诈骗、加密钱包盗窃、商业间谍等活动的猖獗。

防范建议

LummaC2 只是众多信息窃取木马中的一个典型代表，用户和企业需要从多个层面做好防御：

对于普通用户：

• 不点击来源不明的链接和附件；

• 启用双重验证 (2FA)，即使密码泄露也可防止账户被盗；

• 定期清理浏览器缓存与 Cookie，尽量不在浏览器保存敏感数据；

• 安装并定期更新杀毒软件，保持系统及时更新补丁。

对于企业：

• 使用复杂密码：企业内部在设置服务器或者内部系统密码时，应采用复杂的登录凭证，例如必须包括数字、大小写字母、特殊符号，且长度至少为 8 位的密码，并定期更换口令。

• 双重验证：对于企业内部敏感信息，需要基于密码的登录基础上，增加其他层防御以阻止黑客攻击，例如在部分敏感系统上安装指纹、虹膜等生物识别验证或使用物理 USB 密钥身份验证器等措施。

  
  

• 四不要：不要点击来源不明邮件；不要浏览不良信息网站；不要安装来源不明软件，谨慎安装陌生人发送的软件；不要随意将来历不明的 U 盘、移动硬盘、闪存卡等移动存储设备插入设备。

  
  

• 数据备份保护：防止数据丢失的真正保障永远是离线备份，因此，对关键数据和业务系统做好备份十分必要。注意，备份要清晰，标注每个阶段的备份，确保在某个备份受到恶意软件感染时能够及时找回。

  
  

• 常杀毒、关端口：安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口（包括不必要的远程访问服务 3389 端口、22 端口和不必要的 135、139、445 等局域网共享端口等）。

  
  

• 加强员工安全意识：安全生产最大的隐患在于人员，钓鱼、社工、投毒、弱密码等，这些关键因素都与人员的安全意识息息相关，因此要做好整体的安全加固和防御能力提升，就要切实提升人员的安全意识。

  
  

• 及时给办公终端和服务器打补丁：对操作系统以及第三方应用及时打补丁，防止攻击者通过漏洞入侵系统。

写在最后

LummaC2 的查封，不仅是一次技术打击，更是全球网络安全合作的范例。随着 MaaS（恶意软件即服务）模式持续演化，信息窃取木马还将不断变种，这也提醒我们：在加密资产安全中，设备与环境安全同样关键。慢雾 (SlowMist) 将持续关注相关动态，并通过威胁情报网络与追踪能力，为用户和平台提供安全支持，共同构建更加安全、透明的 Web3 生态。

参考资料

[1] https://www.justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation

[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b

[3] https://asec.ahnlab.com/jp/85671/

[4] https://cyble.com/blog/lummac2-stealer-a-potent-threat-to-crypto-users/

[5] https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/