Au cours des derniers mois, un rebond inquiétant des infections liées à LummaStealer a été détecté, une plate-forme de vol d'information qui fonctionne comme malware-as-a-service (MaaS). Bien qu'il ait été partiellement désarticulé dans une opération coordonnée en mai 2025 qui a renversé des milliers de domaines et ses infrastructures de contrôle, l'activité n'a pas disparu : les opérateurs ont repris leurs activités de juillet et de fin 2025 à janvier 2025, la campagne s'est considérablement intensifiée.
LummaStealer n'est pas un simple virus isolé, mais un service criminel qui facilite l'accès à des données hautement sensibles. Vous recherchez des noms d'utilisateur et des mots de passe enregistrés dans les navigateurs, des cookies de session, des jetons d'authentification, des configurations VPN, des détails de portefeuille de cryptomonéda et des documents stockés sur l'ordinateur. Ce large éventail d'objectifs en fait une menace particulièrement dangereuse pour les utilisateurs et les entreprises.
Ce qui a changé dans cette vague est le rôle de CastleLoader, un chargeur de malware qui a émergé comme un élément central dans de nombreuses chaînes d'infection. Les chercheurs de Bitdefender ont décrit comment CastleLoader agit comme une "plateforme de distribution": dénombre et charge complètement le code malveillant en mémoire, utilise plusieurs couches d'uscation et peut communiquer avec souplesse avec les serveurs de commande et de contrôle, ce qui rend idéal pour diffuser des info-voleurs variés et des familles d'accès à distance Trojans. Pour une analyse complète des résultats de Bitdefender, consultez votre rapport technique: Bitdefender Labs: LummaStealer et CastleLoader.
En termes techniques, CastleLoader apparaît généralement comme des scripts obfusqués écrits dans AutoIt ou Python qui déchiffrent et exécutent la charge malveillante en mémoire. Il utilise des dictionnaires renommés, des chaînes codées qui sont décodées dans le temps de fonctionnement, beaucoup de code inutile et des opérations arithmétiques qui ne servent qu'à confondre analystes et outils automatiques. En outre, avant de lancer le vol d'informations, il effectue des contrôles environnementaux pour voir s'il est analysé dans un laboratoire de sécurité et adapte ses voies d'installation en fonction des produits de sécurité détectés dans la machine victime.
La persistance est obtenue par une recette simple mais efficace: le script malveillant est copié sur une route établie, l'interpréteur (par exemple AutoIt) est placé dans un autre endroit et un accès Internet direct est créé dans le dossier de démarrage pour exécuter l'interpréteur avec le script comme argument, de sorte que la charge soit activée après le redémarrage. Parmi les indicateurs de comportement identifiés par les chercheurs, il y a un comportement frappant : CastleLoader provoque délibérément une consultation DNS dans un domaine inexistant, forçant une défaillance qui laisse des artefacts réseau détectables - un point que les équipes de défense peuvent utiliser pour identifier les activités suspectes sur le réseau.
La propagation de LummaStealer n'est pas limitée à une seule méthode. Les opérateurs utilisent des installateurs échoués ou "troyanisés", des versions pirates de logiciels distribués sur de faux sites ou torrents, et des jeux trompeurs ou des fichiers multimédias. Un vecteur d'ingénierie sociale particulièrement efficace est connu sous le nom de ClickFix : la victime voit une page qui imite un CAPTCHA ou une vérification, reçoit des instructions détaillées pour coller et exécuter une commande sur PowerShell et cette commande a déjà été placée sur son presse-papiers. En le frappant, la machine télécharge et exécute un script à distance; souvent le premier composant qui entre est CastleLoader, qui à son tour récupère LummaStealer. Bitdefender documente ce modus operandi dans son rapport et le qualifie d'un des vecteurs les plus puissants de la campagne.
La relation entre CastleLoader et LummaStealer avait déjà été notée auparavant par d'autres équipes de renseignement. Par exemple, l'Insikt Group of Enregistred Future a documenté comment une partie de l'infrastructure utilisée par CastleLoader avait agi comme serveur de commande et de contrôle pour LummaStealer, confirmant la connexion opérationnelle entre les deux projets malveillants. Pour poursuivre cette recherche, l'analyse de l'avenir enregistré est disponible : Avenir enregistré - Groupe Insikt.
Face à ce scénario, la prévention et la détection précoce sont essentielles. Sur le plan personnel, il convient d'éviter de télécharger l'exécutable à partir de sources non vérifiées et de s'échapper de logiciels piratés ou d'outils "cracketed", qui sont un terrain de reproduction commun pour ce type d'infection. Si un web demande d'exécuter une commande sur PowerShell ou dans une console dans le cadre d'une "vérification", cela devrait être pris comme un signal d'alarme: vous ne devriez jamais coller et exécuter le code de presse-papiers si vous ne comprenez pas exactement ce que vous faites. Pour les entreprises et les administrateurs, en plus de la formation des utilisateurs, les solutions d'extrémité et la détection de comportement sont essentielles pour observer les exécutions de mémoire, les anomalies DNS et les persistances inhabituelles, ainsi que pour appliquer des contrôles de filtrage de décharge et la segmentation du réseau.
La leçon générale est que l'écosystème de la cybercriminalité est résilient. Les perturbations de la part des forces de l'ordre et de l'industrie peuvent ralentir ou désarticuler l'infrastructure, mais les développeurs de logiciels malveillants et les fournisseurs de services illicites sont adaptés avec de nouvelles pièces et techniques - comme CastleLoader et ClickFix - pour relancer les machines. C'est pourquoi la réponse doit être aussi multiforme : une combinaison d'intelligence sur les menaces partagées, des outils de détection avancés et, surtout, une formation continue pour les utilisateurs de reconnaître la tromperie et de ne pas exécuter des commandes qui compromettent leur équipe.
Si vous voulez lire les analyses techniques et obtenir des indicateurs pour la défense, les rapports Bitdefender et Enregistred Future cités ci-dessus sont un bon point de départ. La mise à jour du logiciel, l'application de l'authentification multifactorielle dans les comptes critiques, l'utilisation de gestionnaires de mots de passe et l'examen des dossiers de réseau pour des motifs atypiques (p. ex., les requêtes DNS manquées dans des domaines non existants) sont des mesures concrètes qui réduisent considérablement le risque pour ces campagnes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...