Une menace numérique majeure vient d’être sérieusement affaiblie. Lumma Stealer, un équipement malveillant responsable de l’infiltration de nombreux systèmes et du vol de données, a subi un coup dur grâce à une opération conjointe de Microsoft et des agences internationales. Les détails de cette lutte contre la cybercriminalité sont passionnants.
Les infostealers constituent une classe redoutable de malwares conçus pour infiltrer des systèmes et retirer des données personnelles ou d’entreprise sensibles. Lumma Stealer figure parmi les pires, poussant Microsoft et les forces de l’ordre internationales à traquer son prétendu maître d’œuvre.
Microsoft a annoncé que son Digital Crimes Unit (DCU) a perturbé avec succès l’infrastructure serveur derrière Lumma Stealer, une opération de malware en tant que service (MaaS) ayant infecté des centaines de milliers d’ordinateurs Windows. Des cybercriminels du monde entier ont utilisé LummaC2 pour voler des mots de passe et des cartes de crédit, vider des portefeuilles de crypto-monnaies, perturber des services essentiels, et plus encore.
Le DCU de Microsoft a collaboré avec un tribunal fédéral en Géorgie, le Department of Justice, Europol, et le Centre de Contrôle de la Cybercriminalité du Japon pour démanteler l’infrastructure de Lumma. Redmond a bloqué environ 2 300 domaines malveillants qui constituaient l’épine dorsale de l’opération.
Microsoft a identifié plus de 394 000 systèmes Windows infectés par le malware Lumma entre le 16 mars et le 16 mai. Les domaines saisis redirigent désormais vers des sinkholes contrôlés par Microsoft, protégeant ainsi les utilisateurs tout en fournissant aux analystes des informations fraîches sur l’opération malveillante. Avec l’infrastructure de Lumma démantelée, l’entreprise Lumma est effectivement arrêtée.
Le réseau de malware a « loué » Lumma sur les marchés souterrains depuis 2022. Ce malware a évolué pour offrir des fonctionnalités de plus en plus avancées à ses clients criminels. Des analystes de Microsoft affirment que LummaC2 peut siphonner les identifiants de navigateur et les cookies, localiser les portefeuilles de crypto-monnaie stockés localement et cibler les VPN ainsi que diverses applications internet.
De plus, Lumma collecte différents types de documents (PDF, DOCX, RTF) à partir du profil de l’utilisateur local et vole des métadonnées sur la machine infectée pour une exploitation ultérieure. Le malware se propage par plusieurs canaux, notamment par des phishing, de la publicité malveillante, des téléchargements automatiques depuis des sites compromis, et de faux défis Captcha. D’autres échantillons de malware peuvent également déposer Lumma comme menace supplémentaire.
Microsoft a identifié le développeur principal derrière Lumma comme un hacker russe connu en ligne sous le nom de « Shamel« . Lors d’une récente interview avec un chercheur en cybersécurité, le hacker affirmait avoir environ 400 clients actifs. Cela n’est probablement plus le cas, puisque Windows Defender et d’autres outils de sécurité des points de terminaison de Microsoft détectent maintenant efficacement ce malware pratiquement obsolète. Les programmes antivirus tiers l’ont probablement signalé bien avant que les autorités ne démantèlent l’opération.
Selon Redmond, « perturber les outils que les cybercriminels utilisent fréquemment peut créer un impact significatif et durable sur la cybercriminalité, car reconstruire l’infrastructure malveillante et se procurer de nouveaux outils d’exploitation prend du temps et coûte de l’argent. »