窃密黑商｜Lumma Stealer 的追踪与威胁分析

Lumma Stealer（又名LummaC2）作为全球最活跃的信息窃取恶意软件之一，自2022年首次出现以来持续演进，在2025年5月全球执法部门联合打击行动后依然保持高度活跃状态。该恶意软件采用"恶意软件即服务"（MaaS）商业模式运营，月订阅费用250-1000美元，显示出高度商业化和专业化特征。

关键发现

• 开发团队单一ETH地址累计收入超1640 ETH（约3000万人民币）。

• 技术演进迅速，2025年已升级至ChaCha20加密和Telegram动态C2机制。

• 累计检测并封禁2300余个C2地址，收集分析16000+恶意样本。

Lumma Stealer的运营流程图

1.1 基本信息

Lumma Stealer是一款基于订阅制的商业化信息窃取恶意软件，支持Windows 7至Windows 11全系列操作系统。自2022年起，主要通过俄语暗网论坛及Telegram渠道进行传播和推广。

1.2 核心功能

• 凭据窃取：浏览器登录凭据、Cookie及会话信息。

• 加密货币威胁：窃取钱包文件及本地私钥。

• 文档窃取：针对性窃取指定类型文档文件。

• 系统侦察：全面的系统信息收集和环境探测。

1.3 核心功能

采用MaaS（恶意软件即服务）模式，提供分层订阅服务：

• Experienced：250美元/月

• Professional：500美元/月

• Corporate：1000美元/月

• 支持多链加密货币支付（BTC、ETH、TRON、SOL、LTC、XMR）

2.1 C2通信机制演进历程

• 阶段一：静态C2列表（2024年前）

早期版本采用硬编码C2域名列表，通常包含9个域名，使用Base64编码+自定义XOR加密算法保护配置信息。

base64解码后，前32字节为密钥，后面数据是加密的domain，中间v9部分的计算是一段毫无意义的混淆代码:

早期Base64编码+自定义XOR算法的解密脚本

defdecrypt_C2(encrypted_name):try:        decoded_data = base64.b64decode(encrypted_name)iflen(decoded_data)<32:returnNone        key_data = decoded_data[:32]# 前32字节作为密钥        encrypted_payload = decoded_data[32:]# 后面的数据是加密内容# 将32字节密钥按4字节为单位重新排列到key_array中        key_array =bytearray(32)for i inrange(8):# 8个4字节块            start_idx = i *4# 按小端序读取4字节整数然后重新写入            dword_value = struct.unpack('<I', key_data[start_idx:start_idx+4])[0]            key_array[start_idx:start_idx+4]= struct.pack('<I', dword_value)# XOR解密        decrypted_data =bytearray()for i inrange(len(encrypted_payload)):            key_byte = key_array[i &0x1F]# 使用密钥的循环索引 (i & 0x1F)            decrypted_byte = encrypted_payload[i]^ key_byte            decrypted_data.append(decrypted_byte)while decrypted_data and decrypted_data[-1]==0:            decrypted_data.pop()return decrypted_data.decode('utf-8', errors='ignore')except Exception as e:print(f"解密失败: {e}")returnNone

• 阶段二：第三方游戏平台集成（2024年6月）

• 阶段三：ChaCha20加密升级（2025年1月）

• 阶段四：Telegram动态C2（2025年2月）

• 优先级机制：

1. Telegram频道获取（最高优先级）

2. 内置硬编码C2列表

3. Steam平台备用机制

2.2 反分析技术

• 虚拟机级代码混淆：大幅提升静态分析难度

• 反调试检测：大量反调试手法检测调试环境

3.1 传播方式

社会工程学、虚假软件、钓鱼邮件、欺诈链接、

3.1 常见恶意文件名（Top 10）

4.1 收入规模评估

基于链上监测数据，Lumma Stealer相关钱包每月平均转入资金约10万美元，显示出稳定的客户基础和持续的盈利能力。

4.2 资金链路追踪

通过对核心ETH地址的追踪分析，发现以下资金流向模式：

主要地址：

资金规模：汇总地址累计转入超1640 ETH，按当前汇率估算价值约3000万人民币。

4.3 关联威胁活动

更值得关注的是，汇总地址 0x96D0471a061593e20f0ebc8c5b8b2d056862aeFF 还与多起钱包被盗事件有关联。例如，安全研究者 Block Voyager 发布的一起案例 （https://x.com/block_voyager/status/1890868638158123172）中提到该地址与被盗资产路径存在重合。

这一发现进一步表明，Lumma Stealer 开发团队不仅基于Malware-as-a-Service (MaaS )实现盈利，也可能深度参与或间接支持了更多涉及虚拟资产的攻击行为。

5.1 执法行动后的恢复情况

尽管2025年5月FBI宣布协助打击Lumma背后团伙，但该恶意软件快速恢复运营。Lumma团队公开声明："一切已恢复正常，我们的基础设施已经修复完成。"

5.2 持续活跃证据

• C2基础设施：自2021年6月以来累计检测并封禁2300余个C2地址。

• 样本收集：已收集分析超16000个相关恶意样本。

• 通信渠道：主要滥用Telegram和Steam平台进行隐蔽通信。

• 技术演进：持续升级混淆技术和反分析能力。

7.1 威胁评估

Lumma Stealer作为当前最先进的信息窃取恶意软件之一，其持续的技术演进、稳定的商业运营和快速的事件响应能力，使其成为全球网络安全领域的重大持续性威胁。

7.2 防护建议

• 终端防护：部署具备行为检测能力的终端安全产品。

• 用户教育：加强社会工程学攻击防范意识培训。

• 威胁情报：排查已披露IOCs，并持续关注指标更新和技术演进动态。

7.2 防护建议监测要点

• 监控硬编码域名和动态C2通信模式。

• 检测ChaCha20加密配置和ROT系列加密特征。

• 关注进程注入和DLL旁加载行为。

• 重点防护浏览器凭据和加密货币钱包文件。

  08

  附录：部分威胁指标（IOCs）

域名地址

runtnwq.runtyrpsrl.live  urginll.digitalscrehwc.liveunbelao.liveweezpu.runplaxyrj.runlocalixbiw.topsumeriieab.shopbattlefled.topgreengwjz.top

文件哈希（MD5）

1a9ddf7e62952f4303c426bc1e2519bc14e57e17682c4b7fdfad240db00dbe01059d2f7bc82c4467d6eb6dc2138ea8f19c32de09079d57c46f2a59f0f783f01ecc07cb6d0bd951ee4e558362a158c98f70d090de9c9f7918b9c55c3202dabe69a40fd5020b9cde9326b52889c6ba05499a14f97d07b11cca657c35274dbe072ccf78a605eac522e47a073eb45c9e55c5ca4126dedbd91f9afb198ec096cc6257

钱包地址

 < ETH > 0xE5f5CAD9c3CbA90dFf74FcB5C06A2C18fA69132D0xb4df7dad746ed06f249ec0ffc9db3ff68a2392e60x96D0471a061593e20f0ebc8c5b8b2d056862aeFF

 < BTC >bc1qkjxtj7tkrcm2z4uvr7n38jtdlps07d94nagvvw

 < TRON >TVxy6qZJg1kV7wCLvEAx9uJnu71XYFPmkk

 < SOL > J8T6sPrmHqH7CmCJVER3epq4Q8ea1YQtP9uMVQt1beBY

 < LTC >ltc1qwvekyeajkmnkt0sgcahgufg5kc4r2mn0qlmt2c

原文始发于微信公众号（腾讯安全威胁情报中心）：窃密黑商｜Lumma Stealer 的追踪与威胁分析