惡意程式
竊資木馬 Lumma Stealer 再進化:利用瀏覽器指紋識別技術提升偵測難度
Trend™ Research 分析 Lumma Stealer 如何採用多重幕後操縱 (CC) 手法來維持運作並強化受害環境資料的蒐集。
Save to Folio
重點摘要
- 就在 Lumma Stealer 集團的核心成員遭到起底之後,該集團的活動一開始確實減少,但 Trend™ Research 發現 Lumma Stealer (趨勢科技命名為 Water Kurita) 的相關活動自 10 月 20 日那週之後又開始增加,此外也出現了新的行為和幕後操縱 (CC) 技巧。
- Lumma Stealer 現在會在其幕後操縱手法當中加入瀏覽器指紋 (browser fingerprinting) 來強化其傳統的 CC 通訊協定。其指紋技巧包括使用 JavaScript 惡意檔案並透過隱匿的 HTTP 通訊連上 Lumma Stealer 的 CC 伺服器來蒐集並外傳有關系統、網路、硬體及瀏覽器的資料。
- 這些新觀察到的行為可讓 Lumma Stealer 常駐在系統內持續評估受害環境來作為後續行動與躲避偵測的參考。
- Trend Vision One™ 已經可以偵測並攔截本文提到的入侵指標 (IoC),此外也提供了 Lumma Stealer 相關的追蹤查詢、威脅洞見及威脅情報供客戶存取。
繼上個月的針對性起底行動揭露了據稱為 Lumma Stealer 集團 (趨勢科技命名為 Water Kurita) 的核心成員之後,地下市場資訊竊取程式的情勢便出現了重大震盪。如同 Trend™ Research 先前的報告所詳述,這起揭露行動導致 Lumma Stealer 的活動大幅減少,他們的許多客戶都移轉至 Vidar 和 StealC 等競爭對手的平台。然而,根據我們近期的監測資料顯示,Lumma Stealer 似乎又東山再起,而其 CC 行為也出現明顯的變化,尤其是導入了瀏覽器指紋技巧。
詳細分析
從 2025 年 10 月 20 日開始,趨勢科技的監測資料便發現與 Lumma Stealer 相關的活動大幅增加,並且改以新的端點為主要攻擊目標 (圖 1)。此次東山再起的一項重點就是其惡意程式採用了瀏覽器指紋技巧,這意味著 CC 基礎架構的重大演變,但核心通訊協定仍維持與先前版本相同。
處理程序注入與瀏覽器挾持
根據我們分析到的樣本顯示,Lumma Stealer 使用了處理程序注入技巧,確切來說,就是利用 MicrosoftEdgeUpdate.exe 來執行遠端執行緒注入,將惡意程式注入正常的 Chrome 瀏覽器處理程序 (chrome.exe) 當中,如圖 2 所示。這項技巧可讓惡意程式在受信任的瀏覽器處理程序內執行,有效避開許多資安控管,而且在網路監控系統面前看起來就像是正常的瀏覽器流量。
網路流量分析
根據網路流量擷取分析可看到惡意程式與 CC 基礎架構之間的通訊模式,網路流量當中可清楚看到最初與指紋端點 (fingerprinting endpoint) <c2 domain>/api/set_agent 的連線,圖 3 顯示其 HTTP GET 請求及相關的參數,包括獨一無二的識別碼 (id) 和認證權杖 (token)。此一流量模式是 Lumma Stealer 新增的通訊元素,伴隨其傳統的 CC 通訊一起出現。
新的 CC 端點:瀏覽器指紋基礎架構
惡意程式現在會與 CC 網域 (此處為jamelik[.]asia) 上一個專用的指紋端點 (/api/set_agent) 進行通訊。最初的 GET 請求包含幾個參數:
- id (識別碼):獨一無二的 32 字元十六進位識別碼。
- token (權杖):認證用的連線階段權杖。
- agent (代理):瀏覽器識別資訊 (此處為 Chrome)。
儘管 Lumma Stealer 導入了瀏覽器指紋功能,但根據我們的分析證實,其核心的 CC 通訊結構依然如先前 Microsoft 的研究所記載的一樣 (圖 4)。根據除錯分析顯示,惡意程式仍會傳送傳統的 CC 參數 (圖 5),包括:
- uid:Lumma Stealer 用戶端/操作人員及攻擊行動的非重複識別碼 (從第 6 版的「lid」更新而來)。。
- cid:用來識別其他 Lumma Stealer 功能的選擇性欄位 (從第 6 版的「j」更新而來)。
這樣的延續性意味著指紋功能只是用來強化、而非取代現有的 CC 基礎架構,這代表駭客正在已通過考驗的通訊框架上疊加新的功能。
組態設定管理
惡意程式下載的組態設定資料經過分析之後可看到惡意程式如何結合傳統的資料外傳與新的指紋技巧 (圖 6)。組態設定維持了慣用的結構來管理 CC 網域、指令參數與操作指令,同時也加入了分析瀏覽器活動所需的最新指令。
瀏覽器指紋製作惡意檔案
當惡意程式連上指紋端點時,CC 伺服器會傳回可蒐集各式各樣系統與瀏覽器屬性的 JavaScript 程式碼。這個指紋製作腳本會蒐集以下資訊:
系統資訊
- 平台詳細資料、使用者代理 (user agent) 字串,以及語言偏好設定。
- 硬體規格,包括 CPU 核心數量、裝置記憶體,以及觸控功能。
- 瀏覽器廠商資訊與應用程式 metadata。
瀏覽器分析資料
- WebGL 指紋:擷取顯示卡廠商、渲染器資訊,以及支援的擴充功能。
- Canvas 指紋:透過文字和形狀渲染來產生獨一無二的視覺特徵。
- 音訊環境分析:擷取音訊系統的功能,包括取樣速率和通道組態。
- WebRTC 資訊:透過「互動式連線建立」(Interactive Connectivity Establishment,簡稱 ICE) 候選位址 (candidate) 與「連線階段說明協定」 (Session Description Protocol,簡稱 SDP) 資料來蒐集網路介面細節。
網路與硬體特性
- 連線類型、有效頻寬,以及往返時間測量。
- 螢幕解析度、色彩深度與螢幕方向資料。
- 可用的字型與瀏覽器擴充元件資訊。
資料外傳機制
在蒐集到完整的指紋資料之後,腳本會將所有資訊序列化成 JSON 格式,然後發送一個 POST 請求給同一個端點,並加入一個額外的參數 (act=log) 來將資訊傳回給 CC 伺服器。該資料是使用 URL 編碼的表單資料來傳送,傳送完成之後,瀏覽器就會被重導至 about:blank,以便盡可能避免使用者察覺。
戰術意義
這套混合式方法結合了既有的 CC 通訊協定與新的指紋功能,為 Lumma Stealer 集團提供了多項策略用途:
- 進階躲避技巧:詳細的系統分析可讓惡意程式發掘虛擬機器、沙盒模擬,以及分析環境。
- 強化針對性攻擊:駭客可根據受害者的屬性和系統功能來挑選要部署惡意檔案。
- 營運永續性:保留通過考驗的 CC 參數可確保與現有基礎架構和工具相容。
- 躲避偵測:使用正常的瀏覽器處理程序與標準的 HTTP 流量模式,大幅提高偵測難度。
加入新的指紋機制並保留既有的 CC 通訊機制,證明了 Lumma Stealer 的開發人員能在不拋棄既有運作方式的情況下策略性提高自己的能力。
Lumma Stealer (Water Kurita) 威脅情勢評估
根據我們對地下論壇的監控資料,Lumma Stealer 集團在網路犯罪圈的版圖已明顯萎縮,儘管市集活動顯示仍有人在買賣 Lumma Stealer 的記錄檔。除此之外,威脅情勢還進一步受到多個假冒 Lumma Stealer 頻道的 Telegram 帳號所干擾,這在駭客圈內造成了一些混淆,也分化了使用者族群。像這樣的營運干擾,顯示 Lumma Stealer 生態系正面臨著維持其協調及溝通能力的重大考驗。
儘管 Lumma Stealer 在地下市場上的能見度降低,但它仍是一個相當活躍的威脅,持續不斷在攻擊端點,並且將 GhostSocks 列為它部署的第二波惡意檔案。然而,從駭客的基礎架構管理實務可看出他們的營運情況已大不如前,新的二進位檔案樣本現在竟然含有一些過時的 CC 網域 (包括被 Microsoft 的天坑攔截的基礎架構),以及獨立運作的 CC 伺服器,這與先前完整的網域輪替機制所展現的營運安全精密度有很大的差別。
我們有中度信心認為 Lumma Stealer 的經營者目前正藉由低調行事來避免吸引執法機關和競爭對手的注意力。駭客似乎刻意壓低自己的能見度,並且只維持基本的運作,他們很可能是在等待適當時機再恢復到完全的運作規模。這表示他們還在營運,只是變得更加小心謹慎,而非完全倒閉。
資安建議
為了協助企業有效防範 Lumma Stealer 不斷演變的攻擊手法,使用者和資安人員可採取一些資安最佳實務原則,例如:
- 強化電子郵件資安意識。訓練員工發掘並通報網路釣魚郵件,尤其是那些假冒正常軟體更新、快遞通知,或緊急資安警報來誘騙使用者下載惡意附件檔案或點選可疑連結的郵件。
- 小心線上廣告。在點選廣告之前請務必小心,尤其是那些提供免費軟體下載、緊急資安警告,或是「太過好康」的廣告,因為駭客集團經常透過惡意廣告和已遭入侵的網站來散布惡意程式。
- 貫徹軟體安裝管制。管制使用者安裝軟體的權限,並建立已核准的軟體儲存庫,因為惡意程式經常利用假的軟體安裝程式、破解版應用程式,以及從非官方來源下載的惡意瀏覽器擴充元件散布。
- 對不尋常的 CAPTCHA 驗證保持警覺。當遇到 CAPTCHA 驗證時,如果它要求您複製/貼上指令、執行 PowerShell 腳本,或者執行單純的圖片驗證以外的動作時,請務必保持懷疑,因為駭客集團經常使用假的 CAPTCHA 驗證網頁來誘騙使用者執行惡意程式碼,進而下載惡意程式。
- 啟用帳號的多重認證 (MFA)。儘管像「不肖中間人」(adversary-in-the-middle,簡稱 AiTM) 網路釣魚這類的進階攻擊手法有可能試圖繞過多重認證,但多重認證仍不失為一種可防範各種帳號入侵守法的重要資安措施。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理與資安營運集中在一起的 AI 驅動企業網路資安平台,提供強大的多層式防護來保護企業內環境、混合環境,以及多重雲端環境。
Trend Vision One 威脅情報
Trend Vision One Threat Insights
為了隨時掌握不斷演變的威脅,趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend Research 有關新興威脅及駭客集團的最新洞見。
Trend Vision One Intelligence Reports 應用程式 (IoC 掃描)
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
偵測與 .mid 和 .mid.bat 檔案相關的可疑檔案移動
eventSubId: 2 AND objectCmd: /move.*\w+.mid(.bat)?/
偵測 Lumma Stealer 的瀏覽器指紋活動
eventSubId: 701 AND objectCmd: "*//api//set_agent?*&id*&token*&description*"
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
檔案
| 指標 | 偵測名稱 |
| 516cd47d091622b3eb256d25b984a5ede0d5dd9540e342a28e199082395e65e5 | TrojanSpy.Win64.LUMMASTEALER.THKAABE |
網址
| 指標 | 說明 |
| pabuloa[.]asia | CC 伺服器。 |
| jamelik[.]asia | CC 伺服器。 |