Le Lumma Stealer, autrefois entrav\u00e9, est de retour avec des leurres difficiles \u00e0 r\u00e9sister<\/p>\n
En mai dernier, les autorit\u00e9s polici\u00e8res du monde entier ont remport\u00e9 une victoire cl\u00e9 lorsqu’elles ont paralys\u00e9 l’infrastructure de Lumma, un voleur d’informations qui a infect\u00e9 pr\u00e8s de 395 000 ordinateurs Windows sur une p\u00e9riode de seulement deux mois pr\u00e9c\u00e9dant l’op\u00e9ration internationale. Des chercheurs ont d\u00e9clar\u00e9 mercredi que Lumma est une fois de plus de retour \u00e0 grande \u00e9chelle dans des attaques difficilement d\u00e9tectables qui d\u00e9robent des identifiants et des fichiers sensibles.<\/p>\n
Lumma, \u00e9galement connu sous le nom de Lumma Stealer, est apparu pour la premi\u00e8re fois sur les forums de cybercriminalit\u00e9 russophones en 2022. Son mod\u00e8le de logiciel malveillant en tant que service bas\u00e9 sur le cloud fournissait une infrastructure tentaculaire de domaines pour h\u00e9berger des sites d’app\u00e2t proposant des logiciels pirat\u00e9s gratuits, des jeux et des films pirat\u00e9s, ainsi que des canaux de commande et de contr\u00f4le et tout ce dont un acteur de menace avait besoin pour g\u00e9rer son entreprise de vol d’informations. En l’espace d’un an, Lumma se vendait jusqu’\u00e0 2 500 dollars pour les versions premium. Au printemps 2024, le FBI comptait plus de 21 000 annonces sur les forums criminels. L’ann\u00e9e derni\u00e8re, Microsoft a d\u00e9clar\u00e9 que Lumma \u00e9tait devenu l’outil de pr\u00e9dilection de plusieurs groupes criminels, notamment Scattered Spider, l’un des groupes les plus prolifiques.<\/p>\n
Les d\u00e9mant\u00e8lements sont difficiles<\/p>\n
Le FBI et une coalition internationale de ses homologues ont men\u00e9 des actions au d\u00e9but de l’ann\u00e9e derni\u00e8re. En mai, ils ont annonc\u00e9 avoir saisi 2 300 domaines, une infrastructure de commande et de contr\u00f4le et des march\u00e9s criminels qui avaient permis au voleur d’informations de prosp\u00e9rer. R\u00e9cemment, cependant, le logiciel malveillant a fait son retour, lui permettant d’infecter \u00e0 nouveau un nombre important de machines.<\/p>\n
Lumma Stealer est de retour \u00e0 grande \u00e9chelle, malgr\u00e9 un important d\u00e9mant\u00e8lement policier en 2025 qui a perturb\u00e9 des milliers de ses domaines de commande et de contr\u00f4le, ont \u00e9crit des chercheurs de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Bitdefender. L’op\u00e9ration a rapidement reconstruit son infrastructure et continue de se propager dans le monde entier.<\/p>\n
Comme auparavant avec Lumma, la r\u00e9cente vague s’appuie fortement sur ClickFix, une forme de leurre d’ing\u00e9nierie sociale qui s’av\u00e8re \u00eatre terriblement efficace pour amener les utilisateurs finaux \u00e0 infecter leurs propres machines. G\u00e9n\u00e9ralement, ces types d’app\u00e2ts se pr\u00e9sentent sous la forme de faux CAPTCHA qui, plut\u00f4t que d’exiger des utilisateurs qu’ils cochent une case ou identifient des objets ou des lettres dans une image brouill\u00e9e, leur demandent de copier du texte et de le coller dans une interface, un processus qui ne prend que quelques secondes. Le texte se pr\u00e9sente sous la forme de commandes malveillantes fournies par le faux CAPTCHA. L’interface est le terminal Windows. Les cibles qui s’ex\u00e9cutent installent alors un logiciel malveillant de chargement, qui \u00e0 son tour installe Lumma.<\/p>\n
Une partie essentielle de la r\u00e9surgence est l’utilisation de CastleLoader, un logiciel malveillant distinct qui est install\u00e9 initialement. Il s’ex\u00e9cute uniquement en m\u00e9moire, ce qui le rend beaucoup plus difficile \u00e0 d\u00e9tecter que les logiciels malveillants qui r\u00e9sident sur un disque dur. Son code est fortement obscurci, ce qui rend difficile de rep\u00e9rer sa malveillance m\u00eame lorsque les scanners de logiciels malveillants peuvent le voir. CastleLoader fournit \u00e9galement un m\u00e9canisme de communication de commande et de contr\u00f4le flexible et complet que les utilisateurs peuvent personnaliser pour r\u00e9pondre \u00e0 leurs besoins sp\u00e9cifiques.<\/p>\n
CastleLoader partage une partie de l’infrastructure r\u00e9cemment reconstruite de Lumma, une indication que les op\u00e9rateurs travaillent ensemble ou au moins coordonnent leurs activit\u00e9s. Dans d’autres cas, Lumma s’appuie sur une infrastructure l\u00e9gitime, principalement des r\u00e9seaux de diffusion de contenu Steam Workshop et des fichiers partag\u00e9s Discord, pour \u00eatre install\u00e9. L’utilisation de plateformes de confiance aide \u00e0 r\u00e9duire les soup\u00e7ons des cibles. Dans les deux cas, une fois le chargeur ex\u00e9cut\u00e9, il s’enfouit subrepticement dans la machine infect\u00e9e et, apr\u00e8s avoir baiss\u00e9 les d\u00e9fenses, installe sa deuxi\u00e8me charge utile: Lumma.<\/p>\n
C’est si facile de tomber dans le pi\u00e8ge de ClickFix<\/p>\n
Les gens sont tellement habitu\u00e9s aux CAPTCHA difficiles \u00e0 r\u00e9soudre qu’ils ne r\u00e9fl\u00e9chissent gu\u00e8re lorsqu’on leur demande de copier le texte fourni par le site Web, de cliquer sur les touches Win-R, puis de choisir coller. Une fois cette simple action effectu\u00e9e, Lumma a libre acc\u00e8s \u00e0 une multitude de fichiers sensibles stock\u00e9s sur les machines infect\u00e9es. Bitdefender a d\u00e9clar\u00e9 que les donn\u00e9es incluent:<\/p>\n
Les identifiants enregistr\u00e9s dans les navigateurs Web
\nLes cookies
\nLes documents personnels (.docx, .pdf, etc.)
\nLes fichiers sensibles contenant des informations financi\u00e8res, des cl\u00e9s secr\u00e8tes (y compris les cl\u00e9s cloud), des codes de sauvegarde 2FA et des mots de passe de serveur, ainsi que des cl\u00e9s priv\u00e9es de cryptomonnaie et des donn\u00e9es de portefeuille
\nLes donn\u00e9es personnelles telles que les num\u00e9ros d’identification, les adresses, les dossiers m\u00e9dicaux, les num\u00e9ros de carte de cr\u00e9dit et les dates de naissance
\nLes portefeuilles de cryptomonnaie et les extensions de navigateur associ\u00e9es \u00e0 des services populaires comme MetaMask, Binance, Electrum, Ethereum, Exodus, Coinomi, Bitcoin Core, JAXX, et Steem Keychain.
\nLes donn\u00e9es des outils d’acc\u00e8s \u00e0 distance et des gestionnaires de mots de passe, sp\u00e9cifiquement AnyDesk et KeePass.
\nLes jetons d’authentification \u00e0 deux facteurs (2FA) et les extensions telles qu’Authenticator, Authy, EOS Authenticator, GAuth Authenticator et Trezor Password Manager.
\nLes informations des VPN (fichiers .ovpn), de divers clients de messagerie (Gmail, Outlook, Yahoo) et de clients FTP.
\nLes m\u00e9tadonn\u00e9es syst\u00e8me, y compris les informations sur le CPU, la version du syst\u00e8me d’exploitation (Windows 7 \u00e0 Windows 11), les param\u00e8tres r\u00e9gionaux du syst\u00e8me, les applications install\u00e9es, le nom d’utilisateur, l’ID mat\u00e9riel et la r\u00e9solution d’\u00e9cran, utiles pour profiler les victimes ou adapter les exploits futurs.<\/p>\n
L’efficacit\u00e9 de ClickFix repose sur son abus de la confiance proc\u00e9durale plut\u00f4t que sur des vuln\u00e9rabilit\u00e9s techniques, a d\u00e9clar\u00e9 Bitdefender. Les instructions ressemblent \u00e0 des \u00e9tapes de d\u00e9pannage ou \u00e0 des solutions de contournement de v\u00e9rification que les utilisateurs ont pu rencontrer pr\u00e9c\u00e9demment. En cons\u00e9quence, les victimes ne parviennent souvent pas \u00e0 reconna\u00eetre qu’elles ex\u00e9cutent manuellement du code arbitraire sur leur propre syst\u00e8me.<\/p>\n
Alors que Lumma ne cible que les utilisateurs de Windows, d’autres campagnes de logiciels malveillants ont utilis\u00e9 la m\u00eame technique pour infecter des machines macOS depuis au moins juin dernier. Des attaques ClickFix plus r\u00e9centes contre les utilisateurs de macOS se sont poursuivies cette ann\u00e9e.<\/p>\n
La meilleure d\u00e9fense contre ClickFix est d’\u00e9viter les sites proposant des choses gratuites. Windows et macOS fournissent un moyen d’exiger un mot de passe avant que les terminaux de commande puissent \u00eatre ouverts. Les personnes ayant des comp\u00e9tences techniques qui administrent des machines au nom d’utilisateurs moins exp\u00e9riment\u00e9s voudront peut-\u00eatre \u00e9galement envisager d’utiliser cette derni\u00e8re d\u00e9fense.<\/p>\n","protected":false},"excerpt":{"rendered":"
Le Lumma Stealer, autrefois entrav\u00e9, est de retour avec des leurres difficiles \u00e0 r\u00e9sister En mai dernier, les autorit\u00e9s polici\u00e8res du monde entier ont remport\u00e9 une victoire cl\u00e9 lorsqu’elles ont paralys\u00e9 l’infrastructure de Lumma, un voleur d’informations qui a infect\u00e9 pr\u00e8s de 395 000 ordinateurs Windows sur une p\u00e9riode de seulement deux mois pr\u00e9c\u00e9dant l’op\u00e9ration<\/p>\n","protected":false},"author":3,"featured_media":539,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[77],"tags":[],"class_list":["post-538","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/538","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/comments?post=538"}],"version-history":[{"count":0,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/538\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media\/539"}],"wp:attachment":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media?parent=538"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/categories?post=538"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/tags?post=538"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}