Navigation
Les derniers articles
Suivez en direct

Lumma Stealer démantelé : coup dur pour le MaaS cybercriminel mondial

Ordinateur affichant une fausse vérification CAPTCHA à côté de lignes de code, avec en arrière-plan une carte mondiale des cyberattaques, illustrant une campagne de phishing et de diffusion de malware.
Une opération internationale désactive Lumma Stealer, malware redoutable en MaaS, marquant une avancée majeure dans la lutte contre le vol de données.

Le 21 mai 2025, Microsoft et ses partenaires ont mené une opération mondiale coordonnée qui a permis de saisir plus de 2 300 domaines malveillants, épine dorsale du réseau opéré par le malware Lumma Stealer. Cette action judiciaire, soutenue par Europol, le DOJ américain, et plusieurs entreprises de cybersécurité, marque un tournant dans la lutte contre les malwares de type MaaS (Malware-as-a-Service).

Un malware au cœur de l’économie cybercriminelle

Le modèle MaaS (Malware-as-a-Service) désigne une offre commerciale criminelle où des développeurs de malwares louent ou vendent leurs outils à d’autres cybercriminels, souvent sous forme d’abonnement. Ce modèle facilite l’accès à des logiciels malveillants puissants sans compétences techniques avancées, en fournissant un tableau de bord, des mises à jour, et parfois même un service client sur des plateformes comme Telegram.

Lumma Stealer est un malware de vol d’informations opérationnel depuis 2022, conçu pour dérober des identifiants, cookies, portefeuilles crypto et fichiers sensibles. Commercialisé comme un service sur Telegram ou des forums russophones, il permettait à des centaines de cybercriminels d’accéder à un panel en ligne pour personnaliser et déployer leur propre version du malware.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Son succès tient à plusieurs facteurs : sa capacité à contourner les protections traditionnelles, sa flexibilité de distribution (emails, malvertising, logiciels piratés, sites compromis), et une infrastructure C2 sophistiquée s’appuyant sur des profils Steam, des canaux Telegram et des services cloud légitimes pour dissimuler les serveurs de commande.

Une propagation mondiale difficile à freiner

Entre mars et mai 2025, plus de 394 000 ordinateurs sous Windows ont été identifiés comme infectés par Lumma. Les campagnes observées ciblaient aussi bien le secteur éducatif que la santé, les finances, les télécoms ou l’industrie. Un exemple : une attaque par email le 7 avril a visé des organisations canadiennes avec de fausses factures d’abonnements à des plans fitness. Derriere une page CAPTCHA factice se cachait un code PowerShell téléchargeant et exécutant le malware.

Une autre méthode décrite, EtherHiding, utilisait la blockchain Binance Smart Chain pour héberger du code malveillant, contournant ainsi les mécanismes classiques de détection. Cette technique, combinée au mécanisme ClickFix, constitue une campagne dite « drive-by download » observée en avril 2025. Le scénario implique des sites compromis incitant les victimes à copier et exécuter manuellement un code prétextant une vérification CAPTCHA, déclenchant l’infection sans intervention supplémentaire.

Carte thermique détaillant la propagation mondiale des infections et des rencontres du malware Lumma Stealer sur les appareils Windows (source Microsoft)
Carte thermique détaillant la propagation mondiale des infections et des rencontres du malware Lumma Stealer sur les appareils Windows (source Microsoft)

Un arsenal technique redoutable et modulable

Le code de Lumma Stealer, écrit en C++ et ASM, inclut des techniques avancées d’obfuscation pour éviter toute analyse statique. Le malware cible les navigateurs Chromium, Firefox, Edge, les VPN, les clients mail et même les fichiers PDF ou DOCX stockés sur le disque.

Chaque version (au moins six recensées) améliore les mécanismes d’évasion et les communications C2. La version 6 supprime même certains paramètres clés dans ses commandes pour brouiller les analyses comportementales. Les communications sont chiffrées, segmentées et adaptées à chaque campagne.

Démantèlement coordonné d’une infrastructure globale

Microsoft, via sa Digital Crimes Unit (DCU), a obtenu une ordonnance judiciaire permettant de bloquer les domaines, d’interrompre les communications entre Lumma et ses opérateurs, et de rediriger plus de 1’300 domaines vers des « sinkholes » pour recueillir des données techniques et aider à la remédiation.

Le DOJ a parallèlement mis hors ligne les marchés où Lumma était vendu. Des acteurs clés comme Europol EC3, JC3 (Japon), Cloudflare, ESET ou BitSight ont appuyé les efforts pour supprimer l’infrastructure locale. Cette action ne signe pas la fin de Lumma, mais complique sa rediffusion à grande échelle.

Recommandations pour les défenses organisationnelles

Pour se prémunir contre ce type de menace, Microsoft recommande des mesures techniques robustes : MFA renforcé, authentification résistante au phishing (FIDO), politiques de contrôle d’accès strictes, surveillance réseau active, et déploiement de Microsoft Defender avec des règles de réduction de surface d’attaque activées.

Pour les professionnels de la sécurité, le rapport de Microsoft offre une analyse détaillée des techniques d’injection, des configurations C2 et des chaînes d’infection. Ce type de renseignement est essentiel pour adapter les outils EDR, renforcer la détection précoce et couper rapidement les canaux d’exfiltration.

La neutralisation de Lumma rappelle que les efforts conjoints entre secteurs public et privé sont la clef pour perturber durablement les infrastructures cybercriminelles, et non seulement leurs symptômes.

Pour en savoir plus

Voleur de Lumma : Analyse des techniques et des capacités de diffusion d’un voleur d’informations prolifique | Blog sur la sécurité Microsoft

Au cours de l’année écoulée, Microsoft Threat Intelligence a observé la croissance continue et la sophistication opérationnelle de Lumma Stealer, un malware de vol d’informations utilisé par de nombreux acteurs malveillants motivés par des intérêts financiers pour cibler divers secteurs. Microsoft, en partenariat avec d’autres acteurs du secteur et les forces de l’ordre internationales, a facilité la perturbation de l’infrastructure de Lumma.

Lire la suite sur microsoft.com
Voleur de Lumma : Analyse des techniques et des capacités de diffusion d'un voleur d'informations prolifique | Blog sur la sécurité Microsoft

Lumma Stealer : Microsoft mène une action mondiale contre cet outil de cybercriminalité très prisé

Microsoft et ses partenaires ont démantelé Lumma Stealer, un logiciel malveillant utilisé pour voler des données et favoriser la cybercriminalité. Une action en justice a été intentée le 13 mai par la DCU de Microsoft.

Lire la suite sur blogs.microsoft.com
Lumma Stealer : Microsoft mène une action mondiale contre cet outil de cybercriminalité très prisé

Europol et Microsoft démantelent Lumma, le plus grand voleur d’informations au monde | Europol

Cette opération conjointe visait l’écosystème sophistiqué qui permettait aux criminels d’exploiter massivement les informations volées. Europol a coordonné ses efforts avec les forces de l’ordre européennes pour garantir la mise en œuvre des mesures nécessaires, en s’appuyant sur les renseignements fournis par Microsoft. Entre le 16 mars et le 16 mai 2025, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par le malware Lumma dans le monde. Dans le cadre d’une opération de suivi coordonnée,…

Lire la suite sur europol.europa.eu
Europol et Microsoft démantelent Lumma, le plus grand voleur d'informations au monde | Europol

(Re)découvrez également:

Lumma Stealer : Alerte aux e-mails frauduleux !

L’OFCS alerte sur des campagnes de phishing ciblant les utilisateurs de Windows via des e-mails frauduleux, diffusant le malware Lumma Stealer pour voler des données sensibles.

Lire la suite sur dcod.ch
Lumma Stealer : Alerte aux e-mails frauduleux !

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.