CrowdStrike 系统故障被利用于 Lumma 信息窃取器的部署 媒体

Lumma信息窃取恶意软件的攻击手法

关键要点

攻击者利用伪造的CrowdStrike域名传播Lumma信息窃取恶意软件。该域名在CrowdStrike Falcon平台发生全球性IT故障后的几天内注册。使用伪装的恢复工具诱使用户下载，实际交付恶意软件加载器。CrowdStrike表示，这种攻击很可能与先前的社交工程攻击相关。

攻击者正在使用一个伪造的CrowdStrike域名来传播Lumma信息窃取恶意软件。根据The Register，该域名是在大型IT故障即因Falcon平台的错误更新后几天内注册的。

闪电加速器试用

攻击涉及使用域名crowdstrikeoffice365[]com，引诱用户下载一个据称能解决与更新相关的启动循环问题的恢复工具，实际上却交付了一个恶意软件加载器。这个加载器在执行后会最终释放Lumma信息窃取恶意软件。CrowdStrike指出，恶意软件UNC5537曾利用该工具窃取凭证，以渗透Snowflake云存储实例。这次攻击可能由相同的威胁行为者执行，正是上个月利用社交工程进行Lumma传播的攻击。在那些事件中，攻击者使用了钓鱼邮件和伪造的Microsoft Teams客服员工电话。

基于这些活动之间共享的基础设施以及明显针对企业网络的情况，CrowdStrike情报部门以中等信心评估这些活动可能归因于同一未具名的威胁行为者，研究人员表示。

这种类型的攻击显示了网络安全威胁的持续演变，尤其是针对企业用户的精确打击，提醒我们保持警惕，避免落入伪造域名和钓鱼手法的陷阱。