【安全资讯】CTM360：Lumma窃密木马与Ninja浏览器恶意软件活动滥用Google Groups服务

概要：

网络安全公司CTM360近期披露了一起大规模、全球性的恶意软件活动，攻击者滥用Google Groups等可信平台作为攻击跳板，对全球组织构成严重威胁。该活动利用精心伪装的社会工程学帖子分发窃密木马，凸显了攻击者利用合法云服务规避检测的新趋势，对依赖数字信任生态系统的企业安全提出了严峻挑战。

主要内容：

攻击活动始于对Google Groups论坛的渗透。威胁行为者潜入行业相关讨论组，发布看似合法的技术讨论帖，内容涉及网络问题或软件配置。在这些帖子中，攻击者嵌入伪装成“下载{组织名称} for Windows 10”的恶意链接，并使用Google Docs或Drive托管的URL短链进行重定向，以规避检测。

针对Windows用户，攻击链最终投递Lumma窃密木马。该木马被封装在受密码保护、体积异常庞大（约950MB）的压缩包内，其中填充了大量空字节以绕过防病毒软件的文件大小扫描阈值。执行后，它会重组分段二进制文件，启动一个AutoIt编译的可执行文件，并在内存中解密并运行最终载荷，从而窃取浏览器凭证、会话Cookie并执行远程命令。

对于Linux用户，攻击则通过一个名为“Ninja Browser”的特洛伊木马化浏览器进行。该浏览器声称注重隐私，实则会静默安装恶意扩展。扩展程序“NinjaBrowserMonetisation”功能包括用户跟踪、脚本注入和数据外传。浏览器还通过计划任务实现持久化，每日轮询攻击者服务器以静默安装更新。

此次活动的风险极高。Lumma窃密木马可导致凭证泄露、账户接管和企业内网横向移动。Ninja浏览器则能实现静默凭据收集和远程命令执行。由于滥用Google等受信任服务，攻击成功绕过了传统的基于信任的过滤机制。CTM360建议组织检查短链、阻断相关威胁指标、加强用户教育并监控终端计划任务和浏览器扩展安装情况。