Lumma Stealer, un puissant logiciel malveillant utilisé pour voler des données personnelles, vient d’être mis hors d’état de nuire. Au terme d’une opération menée par Microsoft et les forces de l’ordre, l’infrastructure du malware a été saisie. Près de 400 000 ordinateurs avaient déjà été infectés.
Lumma Stealer, un logiciel malveillant massivement utilisé par les cybercriminels, vient d’être démantelé. Au terme d’une opération diligentée par la justice américaine, Europol et le Centre japonais de contrôle de la cybercriminalité, l’infrastructure du malware a été court-circuitée. Plusieurs acteurs sont impliqués dans l’opération, à commencer par Microsoft. Des entreprises comme ESET et Cloudflare ont également participé au démantèlement du redoutable virus.
À lire aussi : Les cyberattaques contre les routeurs « en fin de vie » se multiplient, alerte le FBI
Un malware russe spécialisé dans le vol de données
Actif depuis 2022, Lumma Stealer a été conçu par un développeur russe, qui se fait appeler Shamel. Le virus est un MaaS (Malware-as-a-Service), un outil malveillant vendu sous la forme d’un abonnement à d’autres cybercriminels. Les abonnements étaient vendus entre 250 dollars et 20 000 dollars par mois, pour les offres ultra-complètes, comprenant un panneau de contrôle et de configuration du virus. Shamel revendiquait plus de 400 clients. L’abonnement est proposé par le biais de Telegram, la messagerie préférée des cybercriminels.
Lumma Stealer est spécialisé dans le vol d’informations sensibles, notamment des mots de passe, des identifiants, des cookies, des informations de cartes bancaires, des clés privées de portefeuilles de cryptomonnaies et tout l’historique de navigation. Une fois collectées, les données sont placées dans une archive qui est rapidement envoyée sur des serveurs sous le contrôle des pirates. Selon Microsoft, le malware était « le logiciel malveillant de prédilection utilisé pour voler des données par des centaines d’acteurs présentant une menace pour la cybersécurité ». Compatible avec Windows et avec macos, le virus a été impliqué dans de nombreuses cyberattaques, à l’encontre d’une large variété de cibles, dont des écoles, des comptes bancaires, des particuliers, et se propageait le plus souvent dans des mails frauduleux. Par le passé, on a d’ailleurs trouvé le virus dans des courriels usurpant l’identité de Booking, la plateforme de réservation d’hotels.
Le malware a notamment été utilisé par les cybercriminels du gang FIN7 pour piéger les utilisateurs de faux générateurs de deepfakes. Cette année, Lumma a aussi été impliqué dans une attaque coordonnée par deux gangs contre les ordinateurs sous Windows. Quelques mois plus tôt, le virus était à l’origine d’une vague de vol de données sur Windows. Caché dans des publicités malveillantes, le virus est parvenu à piller les données de nombreux internautes, surtout des amateurs de jeux vidéo.
Près de 400 000 PC infectés par Lumma
Entre le 16 mars et le 16 mai 2025, Microsoft a comptabilisé plus de 394 000 ordinateurs Windows touchés par Lumma dans le monde. La plupart des PC se trouvaient aux États-Unis, au Mexique, au Brésil, en Europe de l’Ouest et au Japon. Une fois installé sur un ordinateur, Lumma peut voler des données sensibles depuis les navigateurs web. Lumma cible principalement les navigateurs comme Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres basés sur le moteur de rendu Chromium.
Le démantèlement de Lumma Stealer a commencé par une action justice intentée par Microsoft aux États-Unis le 13 mai 2025. La justice fédérale américaine a rapidement décidé de mener une opération d’envergure pour mettre un terme aux activités du virus. En « collaboration avec les forces de l’ordre et les partenaires de l’industrie », Microsoft est parvenu à « couper les communications entre l’outil malveillant et les victimes », explique Steven Masada, l’avocat général adjoint de l’unité des crimes numériques de Microsoft.
« En combinant les capacités de coordination d’Europol avec les connaissances techniques de Microsoft, une vaste infrastructure criminelle a été perturbée », déclare le chef du Centre européen de la cybercriminalité d’Europol, Edvardas Šileris.
Une infrastructure démantelée… mais bientôt de retour ?
L’entreprise de Redmond a réussi à bloquer, suspendre ou supprimer environ 1 300 sites web qui constituaient l’infrastructure principale de Lumma. En parallèle, la justice américaine a pris le contrôle du centre de commandement de l’écosystème Lumma, perturbant l’utilisation de la plateforme de revente des données volées par le virus. Comme l’explique Cloudflare, « l’opération de démantèlement de Lumma Stealer prive ses opérateurs de l’accès à leur interface de commande, au marché des données volées et à l’infrastructure en ligne utilisée pour collecter et gérer ces informations ». C’était une « plaque tournante pour l’achat et la vente de logiciels malveillants », souligne Europol. ESET estime que celle-ci contribuait « directement à la prolifération des usurpations d’identités, de la fraude bancaire et de l’extorsion ».
Les pirates sont obligés de « reconstruire leurs services sur une infrastructure alternative ». Microsoft déclare que « cette action coordonnée vise à ralentir le rythme des attaques, à réduire leur efficacité et à limiter les gains illégaux des cybercriminels en coupant l’une de leurs principales sources de revenus ». Les entités impliquées dans l’opération laissent entendre qu’il n’est pas impossible que les pirates remettent, à terme, sur pied une infrastructure autour de Lumma Stealer. Comme le souligne Microsoft, « les cybercriminels sont persistants et créatifs ». Le virus pourrait donc faire son retour à l’avenir.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Europol