Fin mai, Lumma Stealer a été la cible d’une vaste opération de police. Diligentée par Europol et le Centre japonais de contrôle de la cybercriminalité avec l’aide de Microsoft, l’opération a permis de court-circuiter l’infrastructure du malware voleur de données. Conçu par un développeur russe, le virus est spécialisé dans l’exfiltration de données à grande échelle, comme des mots de passe, des identifiants, des cookies, et des informations de cartes bancaires. Au terme de l’opération, plus de 394 000 ordinateurs Windows infectés par Lumma ont été libérés, tandis que 1 300 des sites web qui constituaient l’infrastructure principale du malware ont été saisis.
Peu après l’opération, il s’est avéré que Lumma n’était pas encore tout à fait mort. Bien que l’offensive menée par Europol ait considérablement terni la réputation du virus, son infrastructure est en mesure de renaitre. Les serveurs de commandement et de contrôle du virus sont toujours opérationnels. Les fuites de données orchestrées à l’aide de Lumma ont donc continué à augmenter…
À lire aussi : Cyberattaque en cours – Google découvre une vaste campagne de pillage de données
Lumma Stealer s’est reconstruit
Deux mois plus tard, le virus est parvenu à se reconstruire, ont constaté les chercheurs de Trend Micro. Selon les experts, Lumma a surtout réussi à retrouver la confiance des cybercriminels. D’ailleurs, le virus est désormais aussi actif qu’avant l’opération de police de mai dernier. Dans un rapport, Trend Micro affirme avoir enregistré « des signes évidents d’une résurgence dans les opérations de Lumma ».
« Entre juin et juillet, le nombre de comptes visés est progressivement revenu à la normale, ce qui laisse penser que les opérateurs de Lumma Stealer ont rapidement réussi à relancer leurs activités », explique TrendMicro.
Le développeur derrière Lumma assure que les forces de l’ordre n’ont « pas physiquement confisqué » son serveur central « car il était situé dans une juridiction hors de leur portée ». De facto, la police n’a pas coupé l’élément principal de l’infrastructure, ouvrant la porte à un retour.
À lire aussi : Fuite de données chez Dell – les pirates de World Leaks ont volé 1,3 To de fichiers, mais ils se sont plantés
Du changement chez Lumma Stealer
Pour échapper aux forces de l’ordre, les pirates ont changé un peu de stratégie. Ils n’utilisent plus Cloudflare pour dissimuler ses activités malveillantes, mais Selectel, une entreprise basée en Russie. En se retranchant sur le sol russe, les cybercriminels échappent à une grande partie des opérations des autorités internationales. La Russie est connue pour sa complaisance envers les pirates.
Comme l’explique Trend Micro, il y a « une résurgence régulière et silencieuse de l’activité » de Lumma, comprenant « des tactiques d’évasion raffinées ». Afin de distribuer le malware sur la toile, les pirates s’appuient dorénavant sur quatre canaux de distribution différents, souligne Trend Micro. Ils propagent notamment le virus par le biais de faux logiciels, mis en avant dans des publicités sur Google, des attaques de type ClickFix, qui consistent à manipuler les internautes pour qu’ils exécutent du code malveillant, de faux projets sur GitHub, des vidéos YouTube ou des publications Facebook. Le retour de Lumma « illustre l’adaptabilité et la persistance des groupes cybercriminels modernes », capables de se remettre rapidement d’une offensive policière.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Trend Micro
