微软在国际执法机构的微软支持下开展全球打击行动
 ，成功瓦解了一个从事大规模凭证窃取、联合络金融欺诈和勒索软件攻击的执法恶意软件分发网络 。此次行动针对的机构件网是Lumma Stealer（拉玛窃密软件），这款信息窃取类恶意软件被数百名威胁行为者用于从近40万台受感染的捣毁Windows设备中窃取敏感信息。

这项协同行动由微软数字犯罪调查部门（DCU）、全球a窃美国司法部 、密软欧洲刑警组织以及私营部门的微软网络安全合作伙伴共同参与。各方联手查封了2300多个域名，联合络彻底摧毁了Lumma的执法基础设施 ，免费模板切断了攻击者与受害者之间的机构件网联系 。

全球蔓延的捣毁恶意软件即服务（MaaS）业务

自2022年起 ，Lumma Stealer就通过地下论坛作为"即插即用"解决方案向网络犯罪分子兜售，全球a窃可窃取密码 、密软信用卡号 、微软加密货币钱包和银行凭证等各种信息。其易用性和适应性使其在威胁行为者中广受欢迎
，包括Octo Tempest等知名勒索软件组织。

该工具通常通过网络钓鱼活动 、恶意广告和恶意软件加载器传播 。在今年早些时候的一次攻击活动中 ，攻击者冒充Booking.com诱导受害者下载含有恶意软件的文件 ，香港云服务器这种手法甚至能欺骗经验丰富的用户 。

微软威胁情报团队持续追踪Lumma的活动，确认了2025年3月至5月期间的大规模感染模式 。该公司分享的热力图显示 ，北美、欧洲和亚洲部分地区是该恶意软件的重灾区。

法律行动与基础设施查封

根据微软官方博客，5月13日微软向美国佐治亚州北区地方法院提起诉讼，成功获得法院命令查封与Lumma控制架构相关的恶意域名。亿华云与此同时，美国司法部接管了核心基础设施，欧洲和日本的执法机构也关闭了支持该行动的本地服务器 。

目前已有1300多个域名被重定向至微软控制的服务器（即"蜜罐"），这些服务器正在收集情报以保护用户并支持后续调查。此举切断了恶意软件传输窃取数据或接收攻击者指令的能力 。

恶意软件背后的商业模式

Lumma不仅是一个恶意软件，更是一项生意。它采用分级订阅模式销售 ，源码下载基础版凭证窃取工具售价250美元  ，完整源代码访问权限则高达2万美元 。其创建者"Shamel"以创业公司的方式运营
，使用独特的鸟类标志和淡化恶意意图的标语进行推广。

2023年Shamel在接受安全研究人员采访时声称拥有400名活跃客户 。尽管参与大规模欺诈活动，他仍公开露面，这反映出更广泛的问题：网络犯罪分子在执法不力或缺乏国际合作的司法管辖区逍遥法外。

行业响应与未来展望

此次打击行动获得了ESET、Cloudflare、Lumen  、模板下载CleanDNS 、BitSight和GMO Registry等多家企业的支持，各方在识别基础设施、共享威胁情报或快速高效执行查封方面发挥了重要作用 。

马萨诸塞州网络安全公司Black Duck的基础设施安全实践总监托马斯·理查兹表示："这展现了执法部门与行业合作的强大力量。捣毁该网络将保护数十万人 ，但同样重要的是后续工作，要确保受害者得到警示和支持。"理查兹补充说 ，近年来恶意软件即服务市场的扩张需要跨部门持续协作来限制其危害 。云计算

用户防护建议

虽然此次行动打击了最猖獗的网络信息窃取工具之一，但Lumma只是众多日常威胁中的一种。微软和安全专家建议公众：

谨慎处理邮件链接和附件使用可靠的反病毒和反恶意软件工具保持操作系统和软件更新尽可能启用多因素认证

Lumma Stealer因其高效和大规模作案能力深受网络犯罪分子青睐 。通过关闭其基础设施，微软及其合作伙伴有效削弱了恶意行为者的运作能力。但只要网络犯罪仍有利可图，这场斗争就将持续下去
。