Introduction
Des acteurs malveillants utilisent de faux prompts Captcha pour distribuer le malware Lumma Stealer sans fichier, selon des recherches menées par la société de cybersécurité DNSFilter. Détecté pour la première fois sur un site bancaire grec, ce prompt demande aux utilisateurs de Windows de le copier et de le coller dans la boîte de dialogue Exécuter, puis d’appuyer sur Entrée.
Statistiques et Impact
DNSFilter rapporte que ses clients ont interagi avec le faux Captcha 23 fois au cours de trois jours, et que 17 % des personnes ayant rencontré le prompt ont complété ses étapes à l’écran, entraînant une tentative de livraison de malware.
Fonctionnalités de Lumma Stealer
Mikey Pruitt, évangéliste mondial des partenaires de DNSFilter, a expliqué que Lumma Stealer est une forme de malware qui recherche sur un appareil infecté des identifiants et d’autres données sensibles.
« Lumma Stealer balaie immédiatement le système à la recherche de tout ce qu’il peut monétiser : mots de passe et cookies stockés dans le navigateur, jetons 2FA enregistrés, données de portefeuille de cryptomonnaie, identifiants d’accès à distance, et même coffres-forts de gestionnaires de mots de passe, »
a-t-il déclaré à Decrypt.
Utilisation des Données Volées
Pruitt a précisé que les acteurs malveillants utilisent les données volées à diverses fins, généralement pour un gain financier, comme le vol d’identité et l’accès à des comptes en ligne pour des vols financiers ou des transactions frauduleuses, ainsi que l’accès à des portefeuilles de cryptomonnaie. Lumma Stealer a une large portée, selon Pruitt, et peut être trouvé sur une grande variété de sites web.
« Bien que nous ne puissions pas dire combien a pu être perdu par cette seule voie, cette menace peut exister sur des sites non malveillants, »
a-t-il expliqué. « Cela rend la situation incroyablement dangereuse et il est important d’être vigilant lorsque les choses semblent suspectes. »
Malware-as-a-Service (MaaS)
Lumma Stealer n’est pas seulement un malware, mais un exemple de Malware-as-a-Service (MaaS), dont les entreprises de sécurité ont rapporté qu’il est responsable d’une augmentation des attaques de malware ces dernières années. Selon l’analyste de malware d’ESET, Jakub Tomanek, les opérateurs derrière Lumma Stealer développent ses fonctionnalités et affinent sa capacité à échapper à la détection des malwares.
« Leur objectif principal est de maintenir le service opérationnel et rentable, en collectant des frais d’abonnement mensuels auprès des affiliés – gérant effectivement Lumma Stealer comme une entreprise criminelle durable. »
Réponses des Autorités
En mai, le ministère américain de la Justice a saisi cinq domaines internet que des acteurs malveillants utilisaient pour faire fonctionner le malware Lumma Stealer, tandis que Microsoft a discrètement supprimé 2 300 domaines similaires. Pourtant, des rapports ont révélé que Lumma Stealer a réémergé depuis mai, une analyse de juillet de Trend Micro montrant que « le nombre de comptes ciblés est progressivement revenu à ses niveaux habituels » entre juin et juillet.
Coût et Impact Financier
Une partie de l’attrait de Lumma Stealer est que les abonnements, souvent mensuels, sont peu coûteux par rapport aux gains potentiels.
« Disponible sur des forums du dark web pour aussi peu que 250 $, ce voleur d’informations sophistiqué cible spécifiquement ce qui compte le plus pour les cybercriminels : les portefeuilles de cryptomonnaie, les identifiants stockés dans le navigateur et les systèmes d’authentification à deux facteurs, »
a déclaré Nathaniel Jones, vice-président de la sécurité et de la stratégie IA chez Darktrace. Jones a déclaré à Decrypt que l’ampleur des exploits de Lumma Stealer a été « alarmante », avec des pertes estimées à 36,5 millions de dollars en 2023, ainsi que 400 000 appareils Windows infectés en l’espace de deux mois.
Conclusion
« Mais la véritable préoccupation n’est pas seulement les chiffres – c’est la stratégie de monétisation à plusieurs niveaux, » a-t-il déclaré. « Lumma ne se contente pas de voler des données, il récolte systématiquement les historiques de navigation, les informations système, et même les fichiers de configuration AnyDesk avant d’exfiltrer tout cela vers des centres de commandement contrôlés par la Russie. » Renforçant la menace de Lumma Stealer, le fait que les données volées sont souvent directement alimentées dans des « équipes de trafer », qui se spécialisent dans le vol et la revente d’identifiants.
« Cela crée un effet de cascade dévastateur où une seule infection peut conduire à un détournement de compte bancaire, un vol de cryptomonnaie, et une fraude d’identité qui persiste longtemps après la violation initiale, »
ajoute Jones. Bien que Darktrace ait suggéré une origine ou un centre russe pour les exploits liés à Lumma, DNSFilter a noté que les acteurs malveillants utilisant le service de malware pourraient opérer depuis plusieurs territoires.
« Il est courant que de telles activités malveillantes impliquent des individus ou des groupes de plusieurs pays, »
a déclaré Pruitt, ajoutant que cela est particulièrement répandu « avec l’utilisation de fournisseurs d’hébergement internationaux et de plateformes de distribution de malware. »
