Famille de malware
Lumma

Lumma (également connu sous le nom de LummaC2 ou Lumma Stealer) est l'un des infostealers (logiciels voleurs d'informations) les plus répandus et les plus agressifs du marché cybercriminel actuel.
Apparu autour de fin 2022 sur des forums russophones, il est vendu sous le modèle du Malware-as-a-Service (MaaS) pour environ 250 $ à 1000 $ par mois. N'importe quel cybercriminel peut ainsi louer le logiciel, l'interface de gestion (le C2), et se concentrer uniquement sur la distribution du virus.
Fonctionnement et capacités
Lumma est écrit en C/C++ et est régulièrement mis à jour pour contourner les antivirus (Evasion de l'EDR). Une fois qu'un système est infecté, Lumma procède à une collecte massive et ultra-rapide avant de s'autodétruire pour ne pas laisser de traces.
Il cible particulièrement :
- Navigateurs web : Chrome, Firefox, Edge, Brave, Opera, etc. Il vole les mots de passe enregistrés, l'historique, et les cookies de session. Il possède même des capacités avancées pour "ressusciter" les cookies de session Google expirés.
- Portefeuilles Crypto : Il cible plus de 70 extensions de portefeuilles de cryptomonnaies (Metamask, Phantom, Binance Chain Wallet) ainsi que les applications de bureau (Electrum, Exodus).
- Messageries et Clients : Il extrait les jetons de session de Discord, Telegram, Steam et de divers clients FTP.
Toutes ces données sont compilées dans une archive ZIP (un stealer log) et envoyées au serveur de l'attaquant.
Vecteurs d'infection (Comment on l'attrape)
Lumma ne se propage pas tout seul sur le réseau, il nécessite une action de l'utilisateur. Les méthodes de diffusion les plus fréquentes sont :
- Faux logiciels et Cracks : Hébergés sur des sites de piratage, des torrents ou promus via des vidéos YouTube compromises (qui promettent un logiciel gratuit avec un lien en description).
- Campagnes de Malvertising : De fausses publicités Google Ads qui redirigent vers des sites copiant parfaitement les sites officiels de logiciels populaires (Notion, Slack, AnyDesk, VLC).
- Faux sites de mise à jour : De fausses fenêtres pop-up incitant à télécharger une prétendue mise à jour de Google Chrome ou de Windows.
Comment s'en protéger ?
La compromission par Lumma est sévère car elle donne un accès immédiat à tous les comptes en ligne de la victime. Pour s'en prémunir :
- Ne jamais télécharger de logiciels piratés ou provenant de sources non officielles.
- Utiliser un gestionnaire de mots de passe dédié (comme Bitwarden ou 1Password) plutôt que celui intégré au navigateur (qui est la cible prioritaire du malware).
- Utiliser des clés de sécurité matérielles (type YubiKey) pour l'authentification à double facteur (2FA), car elles ne sont pas contournables même avec un cookie volé.
- Maintenir une solution antivirus ou EDR (Endpoint Detection and Response) à jour.
Sources : MITRE ATT&CK (Software)
Dernières fuites liées
Aucune fuite recensée pour le moment.