LummaStealer infecte des milliers d'utilisateurs via des jeux piratés

Des chercheurs découvrent une nouvelle campagne de LummaStealer

Une nouvelle campagne d'infection du LummaStealer, un malware de vol d'informations personnelles, a été révélée par des chercheurs de Bitdefender. Cette attaque s'est intensifiée après une opération policière en mai 2025, qui a conduit à la suppression de plus de 2 300 domaines utilisés par des criminels.

Comprendre le LummaStealer

Le LummaStealer est un type de logiciel malveillant, connu sous le nom de infostealer, qui vise à voler des données sensibles des ordinateurs. Il fonctionne sous un modèle de malware-as-a-service (malware en tant que service), où les développeurs louent le logiciel à des criminels pour des prix variant de 250 à 20 000 dollars.

Le malware est apparu sur des forums russes à la fin de l'année 2022 et est rapidement devenu l'un des infostealers les plus utilisés au monde. Après l'opération policière, de nombreux opérateurs ont déplacé leur infrastructure vers des fournisseurs d'hébergement qui ne coopèrent pas avec les autorités.

Fonctionnement de l'attaque

L'attaque commence par de faux sites qui proposent des téléchargements de logiciels piratés ou de jeux crackés. En téléchargeant un fichier exécutable, la victime installe le CastleLoader, un composant qui charge le LummaStealer, parfois déguisé sous des noms tels que "Need for Speed Hot Pursuit Setup.exe".

Le CastleLoader fonctionne dans la mémoire de l'ordinateur, évitant que des fichiers suspects soient écrits sur le disque dur, ce qui complique leur détection par des antivirus conventionnels.

Méthodes de tromperie

Les attaquants utilisent des techniques d'ingénierie sociale, comme l'affichage de messages incitant les victimes à appuyer sur des touches qui exécutent des commandes malveillantes sur leur système. Cela permet au malware d'être exécuté sans avoir besoin de téléchargements supplémentaires.

Persistance et évasion

Après l'installation, le LummaStealer crée des fichiers dans des dossiers spécifiques et établit des raccourcis pour garantir son exécution automatique lors du démarrage de l'ordinateur. Le malware adapte ses méthodes en fonction des antivirus installés, pour éviter la détection.

Lorsqu'il est exécuté, il passe par un processus de décryptage en deux étapes pour révéler son code malveillant final.

Une vulnérabilité système expose les infections

Les chercheurs ont identifié une vulnérabilité qui permet de surveiller les infections. Le LummaStealer tente de se connecter à un domaine inexistant, générant une demande DNS qui laisse une trace traçable aux enquêteurs.

Données volées

Une fois installé, le malware recherche des informations précieuses, comme des mots de passe et des documents personnels. Il peut voler des identifiants de navigateurs, des gestionnaires de mots de passe, des portefeuilles de cryptomonnaies et même prendre des captures d'écran de l'appareil de la victime.

Impact et distribution mondiale

L'Inde est le pays le plus touché, suivie par les États-Unis et l'Europe. Le LummaStealer peut être dirigé vers n'importe quelle région, selon les criminels qui l'utilisent.

Conséquences pour la vie privée

Le vol de données peut entraîner le détournement de comptes et des fraudes financières, ainsi que permettre des extorsions dans les cas d'informations sensibles exposées.

Comment se protéger

• Éviter les téléchargements de logiciels à partir de sources non officielles.
• Se méfier des sites qui demandent des commandes manuelles dans PowerShell.
• Changer immédiatement les mots de passe en cas de suspicion d'infection.
• En cas d'infection confirmée, il pourra être nécessaire de réinstaller le système d'exploitation.
• Les entreprises doivent investir dans l'éducation sur l'ingénierie sociale et mettre en œuvre une authentification multifactorielle.

Restez à l'écoute de TecMundo pour plus d'actualités sur la cybersécurité et la technologie.