来源：CloudSEK

CloudSEK 的一份新报告显示，一场正在进行的恶意软件攻击活动正在传播名为 Lumma Stealer 的信息窃取程序，该活动主要针对教育机构，但也影响到了其他各个领域。这场攻击活动使用伪装成合法 PDF 文档的恶意 LNK（快捷方式）文件，诱骗用户启动一个多阶段的感染过程。

攻击者利用受攻击的教育机构的基础设施，在 WebDAV 服务器上托管恶意文件。用户会被以查看学费结构或其他看似无害的文档为由，引诱下载这些文件。当用户点击这些恶意的 LNK 文件时，会执行一个 PowerShell 命令，该命令会下载并运行经过混淆处理的 JavaScript 代码。最终，这段代码会导致 Lumma Stealer 有效载荷的部署。

报告中指出：“这场攻击活动的主要感染途径是使用精心制作成看似合法 PDF 文档的恶意 LNK（快捷方式）文件。” 这些 LNK 文件利用 “独特的特性” 来 “欺骗用户并绕过安全措施，使其成为渗透系统和网络的有效工具”。

一旦被执行，Lumma Stealer 可以窃取各种敏感数据，包括密码、浏览器信息以及加密货币钱包的详细信息。然后，该恶意软件会尝试连接到命令与控制（C2）服务器，以窃取已盗取的数据。

Lumma Stealer 采用了多种逃避检测的技术：

1.混淆的 JavaScript 执行 —— 最初的 LNK 文件会运行一个 PowerShell 脚本，该脚本隐藏在 JavaScript 覆盖代码中。

2.AES 加密有效载荷 —— 该恶意软件会下载一个经过 AES 加密的有效载荷，并使用硬编码密钥以 CBC 模式对其进行解密。

3.数学混淆 ——PowerShell 脚本使用基本的算术技术来隐藏其真实功能。

一旦部署完成，Lumma Stealer 会将窃取到的数据泄露到命令与控制（C2）服务器，使攻击者能够获取密码、加密货币钱包以及浏览器会话的详细信息。

有趣的是，报告指出，该恶意软件还包含一个 Steam 网址，作为备用通信渠道。研究人员解释说：“如果样本无法访问其拥有的每个 C2 域名，它就会使用 Steam 连接。”

正如 CloudSEK 所警告的那样，这场攻击活动仍在继续，很可能会出现新的攻击变种。企业、政府和教育机构必须保持警惕，并积极主动地防范这种迅速演变的网络威胁。