💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Ordinateur affichant une fausse vérification CAPTCHA à côté de lignes de code, avec en arrière-plan une carte mondiale des cyberattaques, illustrant une campagne de phishing et de diffusion de malware.

Lumma Stealer démantelé : coup dur pour le MaaS cybercriminel mondial

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Une opération internationale désactive Lumma Stealer, malware redoutable en MaaS, marquant une avancée majeure dans la lutte contre le vol de données.

Le 21 mai 2025, Microsoft et ses partenaires ont mené une opération mondiale coordonnée qui a permis de saisir plus de 2 300 domaines malveillants, épine dorsale du réseau opéré par le malware Lumma Stealer. Cette action judiciaire, soutenue par Europol, le DOJ américain, et plusieurs entreprises de cybersécurité, marque un tournant dans la lutte contre les malwares de type MaaS (Malware-as-a-Service).

Un malware au cœur de l’économie cybercriminelle

Le modèle MaaS (Malware-as-a-Service) désigne une offre commerciale criminelle où des développeurs de malwares louent ou vendent leurs outils à d’autres cybercriminels, souvent sous forme d’abonnement. Ce modèle facilite l’accès à des logiciels malveillants puissants sans compétences techniques avancées, en fournissant un tableau de bord, des mises à jour, et parfois même un service client sur des plateformes comme Telegram.

Lumma Stealer est un malware de vol d’informations opérationnel depuis 2022, conçu pour dérober des identifiants, cookies, portefeuilles crypto et fichiers sensibles. Commercialisé comme un service sur Telegram ou des forums russophones, il permettait à des centaines de cybercriminels d’accéder à un panel en ligne pour personnaliser et déployer leur propre version du malware.

Son succès tient à plusieurs facteurs : sa capacité à contourner les protections traditionnelles, sa flexibilité de distribution (emails, malvertising, logiciels piratés, sites compromis), et une infrastructure C2 sophistiquée s’appuyant sur des profils Steam, des canaux Telegram et des services cloud légitimes pour dissimuler les serveurs de commande.

Une propagation mondiale difficile à freiner

Entre mars et mai 2025, plus de 394 000 ordinateurs sous Windows ont été identifiés comme infectés par Lumma. Les campagnes observées ciblaient aussi bien le secteur éducatif que la santé, les finances, les télécoms ou l’industrie. Un exemple : une attaque par email le 7 avril a visé des organisations canadiennes avec de fausses factures d’abonnements à des plans fitness. Derriere une page CAPTCHA factice se cachait un code PowerShell téléchargeant et exécutant le malware.

Une autre méthode décrite, EtherHiding, utilisait la blockchain Binance Smart Chain pour héberger du code malveillant, contournant ainsi les mécanismes classiques de détection. Cette technique, combinée au mécanisme ClickFix, constitue une campagne dite « drive-by download » observée en avril 2025. Le scénario implique des sites compromis incitant les victimes à copier et exécuter manuellement un code prétextant une vérification CAPTCHA, déclenchant l’infection sans intervention supplémentaire.

Carte thermique détaillant la propagation mondiale des infections et des rencontres du malware Lumma Stealer sur les appareils Windows (source Microsoft)
Carte thermique détaillant la propagation mondiale des infections et des rencontres du malware Lumma Stealer sur les appareils Windows (source Microsoft)

Un arsenal technique redoutable et modulable

Le code de Lumma Stealer, écrit en C++ et ASM, inclut des techniques avancées d’obfuscation pour éviter toute analyse statique. Le malware cible les navigateurs Chromium, Firefox, Edge, les VPN, les clients mail et même les fichiers PDF ou DOCX stockés sur le disque.

Chaque version (au moins six recensées) améliore les mécanismes d’évasion et les communications C2. La version 6 supprime même certains paramètres clés dans ses commandes pour brouiller les analyses comportementales. Les communications sont chiffrées, segmentées et adaptées à chaque campagne.

Démantèlement coordonné d’une infrastructure globale

Microsoft, via sa Digital Crimes Unit (DCU), a obtenu une ordonnance judiciaire permettant de bloquer les domaines, d’interrompre les communications entre Lumma et ses opérateurs, et de rediriger plus de 1’300 domaines vers des « sinkholes » pour recueillir des données techniques et aider à la remédiation.

Le DOJ a parallèlement mis hors ligne les marchés où Lumma était vendu. Des acteurs clés comme Europol EC3, JC3 (Japon), Cloudflare, ESET ou BitSight ont appuyé les efforts pour supprimer l’infrastructure locale. Cette action ne signe pas la fin de Lumma, mais complique sa rediffusion à grande échelle.

Recommandations pour les défenses organisationnelles

Pour se prémunir contre ce type de menace, Microsoft recommande des mesures techniques robustes : MFA renforcé, authentification résistante au phishing (FIDO), politiques de contrôle d’accès strictes, surveillance réseau active, et déploiement de Microsoft Defender avec des règles de réduction de surface d’attaque activées.

Pour les professionnels de la sécurité, le rapport de Microsoft offre une analyse détaillée des techniques d’injection, des configurations C2 et des chaînes d’infection. Ce type de renseignement est essentiel pour adapter les outils EDR, renforcer la détection précoce et couper rapidement les canaux d’exfiltration.

La neutralisation de Lumma rappelle que les efforts conjoints entre secteurs public et privé sont la clef pour perturber durablement les infrastructures cybercriminelles, et non seulement leurs symptômes.

Pour en savoir plus

Voleur de Lumma : Analyse des techniques et des capacités de diffusion d’un voleur d’informations prolifique | Blog sur la sécurité Microsoft

Au cours de l’année écoulée, Microsoft Threat Intelligence a observé la croissance continue et la sophistication opérationnelle de Lumma Stealer, un malware de vol d’informations utilisé par de nombreux acteurs malveillants motivés par des intérêts financiers pour cibler divers secteurs. Microsoft, en partenariat avec d’autres acteurs du secteur et les forces de l’ordre internationales, a facilité la perturbation de l’infrastructure de Lumma.

Lire la suite sur microsoft.com
Voleur de Lumma : Analyse des techniques et des capacités de diffusion d'un voleur d'informations prolifique | Blog sur la sécurité Microsoft

Lumma Stealer : Microsoft mène une action mondiale contre cet outil de cybercriminalité très prisé

Microsoft et ses partenaires ont démantelé Lumma Stealer, un logiciel malveillant utilisé pour voler des données et favoriser la cybercriminalité. Une action en justice a été intentée le 13 mai par la DCU de Microsoft.

Lire la suite sur blogs.microsoft.com
Lumma Stealer : Microsoft mène une action mondiale contre cet outil de cybercriminalité très prisé

Europol et Microsoft démantelent Lumma, le plus grand voleur d’informations au monde | Europol

Cette opération conjointe visait l’écosystème sophistiqué qui permettait aux criminels d’exploiter massivement les informations volées. Europol a coordonné ses efforts avec les forces de l’ordre européennes pour garantir la mise en œuvre des mesures nécessaires, en s’appuyant sur les renseignements fournis par Microsoft. Entre le 16 mars et le 16 mai 2025, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par le malware Lumma dans le monde. Dans le cadre d’une opération de suivi coordonnée,…

Lire la suite sur europol.europa.eu
Europol et Microsoft démantelent Lumma, le plus grand voleur d'informations au monde | Europol

(Re)découvrez également:

Lumma Stealer : Alerte aux e-mails frauduleux !

L’OFCS alerte sur des campagnes de phishing ciblant les utilisateurs de Windows via des e-mails frauduleux, diffusant le malware Lumma Stealer pour voler des données sensibles.

Lire la suite sur dcod.ch
Lumma Stealer : Alerte aux e-mails frauduleux !

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez nos analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Cyberattaques

Cyberattaques : Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏