New Africa - stock.adobe.com

Actualites

Cleptogiciels : offensive majeure contre Lumma Stealer

Plus de 1300 noms de domaine utilisés pour l’infrastructure du cleptogiciel Lumma ont été saisis et transférés à Microsoft. Cette opération s’inscrit dans la continuité de celle, baptisée Magnus, qui avait touché les infostealers Meta et Redline fin 2024.

Valéry Rieß-Marchive
par
Publié le: 21 mai 2025

Microsoft vient d’annoncer une vaste opération contre le maliciel dérobeur, aussi appelé cleptogiciel ou infostealer, en anglais, Lumma.

Dans un billet de blog, l’éditeur explique ainsi que « plus de 1 300 domaines saisis par Microsoft ou transférés à ce dernier, y compris 300 domaines pour lesquels les forces de l'ordre ont pris des mesures avec l'aide d'Europol, seront redirigés vers les sinkholes de Microsoft. Cela permettra à la DCU de Microsoft de fournir des informations exploitables afin de continuer à renforcer la sécurité des services de l'entreprise et de contribuer à la protection des utilisateurs en ligne. Ces informations aideront également les partenaires des secteurs public et privé à suivre, enquêter et remédier à cette menace ».

Ces noms de domaines sont liés à l’infrastructure de commande et de contrôle de Lumma. Cloudflare a également contribué à cette opération, aux côtés d’Eset, de CleanDNS ou encore de Bitsight. Ce dernier précise que près d’une centaine de chaînes Telegram utilisées par Lumma ont également été saisies, ainsi que 4 profiles Steams.

Cette opération en rappelle une autre, menée à l’automne 2024, contre les cleptogiciels Meta et Redline. Et c’est loin d’être superflu.

Les infostealers constituent une importante menace : les identifiants ainsi obtenus sont fréquemment exploités pour conduire des cyberattaques. Ce point de départ avait ainsi été identifié pour les brèches survenues chez Ticketmaster et Santander, l’an dernier ; les identifiants associés à un compte Showflake avaient été compromis.

Plus de 40 millions d’identifiants avaient été volés, en France, par des infostealers, en 2023, selon Recorded Future. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023. 

Début juin 2024, Have I Been Pwned a été enrichi de 122 Go de données provenant de cleptogiciels. Au total, il y avait là environ 361 millions d’adresses e-mail uniques, dont près de la moitié était jusque-là inconnues de Have I Been Pwned. Tout cela avait été collecté par un chercheur anonyme sur des chaînes Telegram – près de 520 – où elles étaient partagées gratuitement.

Microsoft dit avoir « identifié plus de 394 000 ordinateurs sous Windows dans le monde entier, compromis par Lumma », entre le 16 mars 2025 et le 16 mai.

Pour approfondir sur Menaces, Ransomwares, DDoS