Moins d’un an après une opération internationale qui semblait avoir mis fin à ses activités, le malware Lumma Stealer (ou Lumma) refait surface. Des chercheurs en cybersécurité de Bitdefender alertent sur une recrudescence des infections par cet infostealer.
Apparu fin 2022 sur des forums russophones, le nuisible est avec un modèle de malware-as-a-service, permettant à un large réseau d’affiliés de louer ses services pour mener des campagnes de vol de données.
Comment le malware se propage-t-il sans exploiter de failles techniques ?
L’efficacité de Lumma Stealer repose principalement sur l’ingénierie sociale. Les campagnes n’exploitent pas de vulnérabilités logicielles, mais persuadent les utilisateurs d’exécuter eux-mêmes les fichiers infectés.
Les leurres sont variés et assez communs. Ils comprennent de faux installateurs de logiciels piratés, des jeux vidéo inexistants ou des films récents proposés en téléchargement illégal. Les cybercriminels abusent également de la confiance accordée aux plateformes légitimes telles que Discord ou le Steam Workshop pour distribuer leurs charges utiles.
Selon Bitdefender, » le succès de l’attaquant dépend de sa capacité à persuader la victime d’exécuter un contenu malveillant « . Cette approche rend la détection plus complexe, puisque l’action initiale est réalisée par l’utilisateur lui-même.
Quel est le rôle de CastleLoader dans cette résurgence ?
La nouvelle infrastructure de Lumma s’appuie sur un loader nommé CastleLoader. Cet outil joue un rôle central en s’exécutant entièrement en mémoire, ce qui le rend difficile à détecter par les solutions de sécurité traditionnelles qui scannent les fichiers sur le disque. Son code est fortement obfusqué pour compliquer davantage son analyse.
Des recoupements d’infrastructure suggèrent une » coordination ou au moins des fournisseurs de services partagés » entre les équipes de développement de Lumma Stealer et de CastleLoader.
Cette synergie permet une diffusion rapide et discrète de la charge utile malveillante finale, qui s’infiltre dans le système de la victime après que le loader a abaissé les défenses.
Pourquoi les attaques par ClickFix sont-elles si efficaces ?
Une des méthodes d’infection les plus pernicieuses est l’utilisation de faux CAPTCHA, une technique surnommée ClickFix. Au lieu de cliquer sur des images, la victime est invitée à copier-coller une commande dans le terminal Windows (raccourci Win+R) pour » prouver qu’elle est humaine « . Cette commande, fournie par le site malveillant, déclenche en réalité le téléchargement du malware.
L’efficacité de cette méthode » réside dans l’abus de la confiance procédurale plutôt que dans les vulnérabilités techniques « , explique Bitdefender. Les utilisateurs, habitués à des procédures de vérification, exécutent manuellement le code malveillant sur leur système.
L’impact est alors dévastateur, permettant le vol d’identifiants, de cookies de session, de portefeuilles de cryptomonnaies et de données sensibles.