LummaStealer, le malware voleur d'informations, connaît une seconde vie aux côtés de CastleLoader

Les chercheurs de Bitdefender ont découvert une recrudescence de l'activité de LummaStealer, montrant comment l'un des logiciels malveillants les plus prolifiques au monde en matière de vol d'informations a réussi à survivre malgré avoir été presque démantelé par les forces de l'ordre il y a moins d'un an.

LummaStealer est une menace de vol d'informations hautement évolutive avec une longue histoire, fonctionnant selon un modèle de logiciel malveillant en tant que service depuis son apparition sur la scène fin 2022.

Cette menace est rapidement devenue l'un des voleurs d'informations les plus répandus au monde, soutenu par un vaste écosystème d'affiliés et une infrastructure de diffusion en constante adaptation.

Malgré les efforts importants déployés par les forces de l'ordre en 2025 pour le démanteler, LummaStealer a poursuivi ses activités, faisant preuve de résilience en migrant rapidement vers de nouveaux hébergeurs et en adaptant d'autres techniques de chargement et de diffusion.

Notre analyse montre que les infections par LummaStealer sont principalement dues à l'ingénierie sociale plutôt qu'à l'exploitation de vulnérabilités techniques.

Les campagnes de logiciels malveillants reposent systématiquement sur le fait que les utilisateurs exécutent à leur insu des fichiers infectés, en utilisant des leurres simples tels que de faux logiciels piratés, de faux jeux ou des téléchargements multimédias, et en abusant de plateformes de confiance.

Les campagnes récentes utilisent de plus en plus souvent des techniques de faux CAPTCHA (« ClickFix »), qui convertissent les interactions Web normales des utilisateurs en exécution directe de commandes sur les systèmes des victimes.

Au cœur de bon nombre de ces campagnes se trouve CastleLoader, qui joue un rôle central dans la propagation de LummaStealer à travers les chaînes de distribution. Son modèle d'exécution modulaire en mémoire, son obscurcissement étendu et sa communication flexible de commande et de contrôle le rendent particulièrement adapté à la distribution de logiciels malveillants à cette échelle.

Nous avons constaté un certain chevauchement entre les infrastructures de CastleLoader et de LummaStealer, ce qui suggère que les deux équipes de développeurs se coordonnent ou, à tout le moins, partagent les mêmes fournisseurs de services.

Retrouvez l'analyse complète et détaillée des Bitdefender Labs ici.

Résumé

• LummaStealer est de retour à grande échelle, malgré une opération policière majeure menée en 2025 qui a perturbé des milliers de ses domaines de commande et de contrôle. L'opération a rapidement reconstruit son infrastructure et continue de se propager dans le monde entier.
• La plupart des infections commencent par de l'ingénierie sociale, et non par du piratage. Les victimes sont amenées à exécuter elles-mêmes le logiciel malveillant par le biais de faux logiciels piratés, de faux téléchargements de jeux ou de films et de pages trompeuses de « vérification humaine ».
• Les attaques par faux CAPTCHA (« ClickFix ») deviennent un point d'entrée privilégié, transformant les interactions web courantes en exécution manuelle de commandes par la victime.
• CastleLoader est devenu un mécanisme de distribution central, utilisant l'exécution en mémoire, une forte obscurcissement et un déploiement flexible de la charge utile pour échapper à la détection et distribuer LummaStealer.
• Un artefact DNS expose l'activité de CastleLoader. Le chargeur déclenche délibérément des recherches DNS infructueuses vers des domaines inexistants, créant ainsi un modèle détectable qui peut être utilisé pour identifier les campagnes associées.
• Le chevauchement des infrastructures relie les opérations de CastleLoader et de LummaStealer, ce qui suggère des services partagés ou une coordination au sein d'un écosystème plus large de logiciels malveillants en tant que service.
• L'impact sur la vie privée est grave et durable. Les identifiants volés, les sessions actives, les documents personnels et les données relatives aux cryptomonnaies permettent le piratage de comptes, la fraude financière, l'usurpation d'identité et l'extorsion.

Conclusions

LummaStealer reste une menace importante et en constante évolution en raison de la combinaison d'une ingénierie sociale efficace, d'une infrastructure de chargeurs flexible et d'un écosystème MaaS (malware as a software) bien établi.

L'utilisation continue de chargeurs tels que CastleLoader, associée à des techniques telles que ClickFix, témoigne d'un changement stratégique vers des mécanismes de diffusion difficiles à perturber par les seules défenses techniques traditionnelles.

Une défense efficace contre LummaStealer nécessite plus qu'une détection basée sur les signatures ou la suppression des infrastructures. La chaîne d'infection dépendant de l'interaction des utilisateurs, la prévention doit mettre l'accent sur la sensibilisation des utilisateurs, la surveillance des comportements et la réaction rapide en cas de compromission des identifiants.

Les stratégies de détection des terminaux doivent se concentrer sur l'identification des chaînes de processus anormales, l'utilisation abusive de fichiers binaires « living-off-the-land » et les comportements réseau suspects associés à l'activité des chargeurs.

Alors que LummaStealer continue de s'adapter, les défenseurs doivent partir du principe que l'accès initial ressemblera de plus en plus à un comportement utilisateur légitime. Il est donc essentiel de comprendre le contexte de l'ingénierie sociale, l'écosystème de diffusion et l'impact post-compromission pour détecter, atténuer et, en fin de compte, réduire l'efficacité de LummaStealer et des opérations similaires d'infostealing.