Le malware Lumma semble reprendre ses opérations de vol des données des utilisateurs. C’est assez surprenant parce qu’on se souvient encore que les forces de l’ordre et plus précisément de l’Europol avaient saisis plus de 2 300 domaines et une bonne partie de son infrastructure.
Le malware renait de ses cendres
Il est vrai que les agents de l’Europol avaient menés une opération de grande envergure pour anéantir complètement les actions de vols des données du malware Lumma. Or, depuis le début du mois de juin, plusieurs activités suspects ont été détectées sur certains forums XSS. Cela est dû au fait que le serveur central n’avait pas été saisi.
Contre toute attente, les cybercriminels ont pu reconstituer progressivement toute leur opération de vol d’informations sur plusieurs plateformes. Pire encore, plusieurs spécialistes affirment que presque la totalité des activités ont repris leur cours d’avant le démantèlement.
Certains avancent même que le réseau des cybercriminels a recommencé à fonctionner quelques semaines seulement après le démantèlement. Le malware cette fois-ci pour échapper aux actions des forces de l’ordre européen ont fait le choix de délaisser Cloudflare pour masquer leurs activités.
Cette fois-ci, ils se sont tournés vers une solution alternative basé en Russie, Selectel. Conséquence, cela va compliquer grandement les tâches des européens à procéder à d’éventuels démantèlements.
De plus, la Russie est connue pour être complaisant avec les cybercriminels qui opèrent sur son territoire. Pendant les opérations de l’Europol, plus de 394 000 ordinateurs avaient été libérés des infections du virus lumma. Aussi, plus de 1 300 sites malveillants appartenant à l’infrastructure des cybercriminels avaient été saisis.
Apparemment, tout cela n’a pas suffi puisque le malware lumma est en train de renaître de ses cendres pour continuer à sévir dans le vol des données comme par le passé.
Quatre canaux de distribution utilisés par le virus Lumma
Les chercheurs qui ont détectés une recrudescence des activités de Lumma indiquent que le malware semble utiliser 4 canaux de distribution pour atteindre de nouvelles infections.
Faux cracks/keygens : les cybercriminels utilisent de faux cracks et keygens de logiciels via des publicités malveillantes pour atteindre les utilisateurs qui les utiliseraient. Les victimes sont redirigées vers des sites web infectés qui se font passer pour de vrais sites leur fournissant des clés de logiciels gratuitement. Ces sites en profitent pour proposer Lumma Downloader.
ClickFix : C’est la seconde méthode utilisée par les hackers. Ils utilisent des sites web malveillants qui contiennent de fausses pages CAPTCHA qui obligent les utilisateurs à exécuter des commandes PowerShell. Or, il est avéré que ces commandes exécutent le code du malware Lumma dans la mémoire de l’ordinateur échappant ainsi aux contrôles de détection.
GitHub : Les cybercriminels parviennent à créer des centaines de programmes sur GitHub avec de l’IA en les faisant passer pour des astuces de jeu. Or, ces programmes sont truffés de fichiers infectés du malware Lumma, comme « TempSpoofer.exe », sous forme d’exécutables ou de fichiers ZIP.
YouTube/Facebook : Le nouveau malware Lumma est aussi accompagné de Vidéos YouTube et des publications Facebook vantant les mérites des logiciels piratés qui deviennent gratuits. Comme pour le cas précédent, les liens mènent à des sites externes hébergeant le malware Lumma.
