Démantelé par Europol et Microsoft en mai 2025, le malware russe Lumma Stealer a rapidement refait surface avec une infrastructure renforcée. Selon une nouvelle étude de Bitdefender, ce voleur de données connaît une recrudescence spectaculaire depuis décembre 2025.
En mai 2025, Europol et Microsoft ont démantelé Lumma Stealer, un malware russe qui vole mots de passe, identifiants et données bancaires. L’opération a permis de démanteler l’infrastructure du logiciel malveillant et de libérer 394 000 ordinateurs Windows infectés. En dépit des efforts de Microsoft et des forces de l’ordre, le virus est rapidement revenu d’entre les morts. Quelques mois après l’offensive, au beau milieu de l’été, le malware est revenu sur le devant de la scène avec une infrastructure flambant neuve. Bien que sa réputation ait été ternie par son démantèlement, Lumma Stealer est parvenu retrouver la confiance des cybercriminels. Le malware est en effet mis à disposition des pirates dans le cadre d’un abonnement de type Malware-as-a-Service (MaaS).
Plusieurs mois après le retour en force du virus, les chercheurs de Bitdefender révèlent qu’il est utilisé « dans plusieurs campagnes malveillantes ». Selon leurs investigations, le malware a repris « une activité à grande échelle », et ce, moins d’un an après l’opération diligentée par Europol. Entre décembre 2025 et janvier 2026, les chercheurs de Bitdefender ont observé une augmentation considérable des infections, principalement en Inde, aux États-Unis et en Europe. Le groupe criminel russe à l’origine de Lumma est « parvenu à survivre, à se réorganiser et à reconstruire rapidement son infrastructure ». Désormais, les hackers ont migré vers des fournisseurs d’hébergement de type bulletproof, qui sont moins coopératifs avec les forces de l’ordre.
À lire aussi : méfiez-vous des CAPTCHA, ils peuvent vous faire installer un virus
Comment Lumma Stealer orchestre des attaques ClickFix
Les campagnes actuelles impliquant Lumma Stealer reposent sur l’ingénierie sociale, c’est-à-dire la manipulation psychologique des internautes. Les chercheurs ont étudié plusieurs cyberattaques s’appuyant sur un mécanisme de plus en plus répandu, ClickFix. Ce genre de campagne malveillante consiste à manipuler les utilisateurs pour les conduire à réaliser des actions bien précises. Sans s’en rendre compte, la cible va installer un virus ou donner l’accès de son ordinateur aux cybercriminels. La victime réalise elle-même les opérations malveillantes, ce qui permet de contourner les protections et les mécanismes de sécurité.
En l’occurrence, l’attaque repose sur un faux CAPTCHA. Lorsqu’une victime visite un site compromis, elle se retrouve face à un faux message de vérification CAPTCHA qui lui demande de prouver qu’elle est humaine. Les instructions à l’écran lui indiquent d’utiliser un raccourci clavier, puis de copier/coller du contenu dans le terminal. Ce que la victime ignore, c’est que le site a discrètement copié une commande malveillante dans son presse-papiers. En suivant ces instructions, elle exécute en réalité un script qui installe un premier maliciel.
Les campagnes actuelles s’appuient massivement sur CastleLoader, un virus de type loader. Son rôle est d’infecter l’ordinateur de la cible en évitant la détection par les solutions de sécurité, puis de télécharger et de lancer Lumma Stealer. Très discret, le malware s’exécute entièrement en mémoire, ne laissant presque aucune trace sur le disque dur de la machine. Le « chevauchement des infrastructures relie les opérations de CastleLoader et de LummaStealer, suggérant des services partagés ou une coordination au sein d’un écosystème plus large », explique Bitdefender.
Les données dans le viseur de Lumma Stealer
Une fois que Lumma est installé, il va piller les mots de passe enregistrés dans les navigateurs, les cookies de connexion, les codes d’authentification à deux facteurs, les portefeuilles de cryptomonnaies, les documents personnels, les gestionnaires de mots de passe, les comptes Steam et Discord, le contenu du presse-papiers, et les configurations VPN. Pour se propager sur Internet, le duo CastleLoader et Lumma Stealer se sert de logiciels piratés, de jeux vidéo, de faux films, d’outils professionnels gratuits, de mods sur Steam, de fichiers partagés sur Discord, et d’archives zip piégées. Ceux-ci servent d’appâts pour attirer les internautes sur un site piégé.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Bitdefender