据微软数字犯罪部门 (DCU) 发布的消息，日前该部门联合行业合作伙伴打击名为 Lumma Stealer 的信息窃取恶意软件，统计数据显示仅在 2025 年 3 月 16 日～5 月 16 日间，该恶意软件就在全球范围内感染 39.4 万台电脑。

Lumma Stealer 是个恶意软件即服务类型的信息窃取软件，即该恶意软件的开发团队主要负责开发工作，下游黑客或诈骗团伙租用该恶意软件再去传播，最终目的是窃取用户的账户密码、信用卡信息、银行账户信息、加密货币钱包并尝试向学校等机构勒索赎金。

在监测到异常后微软数字犯罪部门向美国佐治亚州地方法院申请命令，在获得批准后微软查封并协助拆除、暂停和屏蔽约 2300 个构成 Lumma 基础设施主干的恶意域名，同时美国司法部扣押 Lumma 的中央指挥架构并捣毁向其他网络犯罪分子出售该恶意软件的地下市场。

开发者向下游黑客提供的门户

这款恶意软件的感染重灾区在欧洲和日本，因此欧洲刑警组织和日本网络犯罪控制中心还协助微软暂停了犯罪分子位于欧洲和日本的 Lumma 基础设施，扣押这些域名后可以切断恶意软件控制者与受害者之间的通信，避免黑客继续窃取用户信息。

为了监测情况超过 1300 个被查封的域名被自动重定向到微软控制的漏洞攻击点(安全陷阱)，也就是说恶意软件继续联系 C2 服务器时实际上微软能够看到，这样微软可以获得可操作的情报从而加强对受影响的 PC 的修复。

微软称此次联合行动旨在减缓这些攻击者发动攻击的速度，最大限度地降低其攻击活动的有效性，同时通过切断其主要收入来源来阻止网络犯罪分子获得非法收入。

从目前已知情报来看 Lumma Stealer 的主要开发者位于俄罗斯，其网络别名为 Shamel，这名俄罗斯人通过 Telegram 和其他俄语聊天软件为 Lumma Stealer 提供不同级别的服务，根据下游犯罪分子购买的服务级别，他们可以创建自己的恶意软件副本并通过在线门户追踪被盗消息。

2023 年 11 月 Shamel 在接受网络安全研究人员 g0nixa 采访时透露，当时 Lumma Stealer 就有 400 名活跃客户 (也就是下游犯罪团伙)，Lumma Stealer 使用独特的鸟类标志来营销其产品，称其为和平、轻松和安宁的象征。