Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

LummaStealer infections surge after CastleLoader malware campaigns

2 minute de lecture

Mis à jour :

Résurgence de LummaStealer via CastleLoader et ClickFix

Une recrudescence des infections par LummaStealer est observée, orchestrée par des campagnes d’ingénierie sociale utilisant la technique ClickFix pour déployer le malware CastleLoader. LummaStealer, un voleur d’informations opéré en tant que service (MaaS), avait été temporairement neutralisé en mai 2025 suite à une action des forces de l’ordre ayant saisi de nombreux domaines. Cependant, l’activité a repris en juillet 2025 et s’est considérablement intensifiée fin 2025 et début 2026 grâce à CastleLoader.

CastleLoader est un chargeur de malware polyvalent et très obfusqué, capable d’exécuter des charges utiles directement en mémoire. Il distribue diverses familles de malwares, dont LummaStealer, par le biais de plusieurs méthodes, notamment ClickFix. La technique ClickFix consiste à présenter aux victimes de fausses pages de vérification (par exemple, CAPTCHA) les incitant à copier-coller une commande malveillante dans leur terminal, qui télécharge et exécute ensuite CastleLoader, lequel peut à son tour déployer LummaStealer.

CastleLoader effectue des vérifications d’environnement pour détecter les analyses et adapte son comportement. Il assure sa persistance en créant des raccourcis internet dans le dossier de démarrage. Une de ses caractéristiques détectables est la génération d’une requête DNS échouée intentionnelle vers un domaine inexistant.

Les campagnes de LummaStealer ciblent des données sensibles telles que les identifiants de connexion, les cookies de navigateur, les portefeuilles de cryptomonnaies et les documents. Elles sont diffusées via des installateurs de logiciels compromis, des logiciels piratés et de faux archives médiatiques ou de jeux, touchant des pays du monde entier.

Points Clés:

  • LummaStealer: Voleur d’informations distribué en tant que service (MaaS).
  • CastleLoader: Chargeur de malware utilisé pour distribuer LummaStealer et d’autres malwares. Il est complexe, obfusqué et s’exécute en mémoire.
  • ClickFix: Technique d’ingénierie sociale incitant les utilisateurs à exécuter des commandes malveillantes via des fausses pages de vérification.
  • Reprise et Intensification: Après une interruption en mai 2025, LummaStealer a refait surface et a vu son activité exploser fin 2025/début 2026 grâce à CastleLoader.
  • Méthodes de Distribution: Logiciels piratés, installateurs compromis, fausses archives.
  • Ciblage: Données sensibles des utilisateurs (identifiants, cryptomonnaies, documents).

Vulnérabilités (non spécifiées avec des CVE dans l’article):

L’article ne mentionne pas de CVE spécifiques. La vulnérabilité exploitée réside dans l’ingénierie sociale des utilisateurs et leur tendance à télécharger des logiciels depuis des sources non fiables ou à exécuter des commandes sans en comprendre les risques.

Recommandations:

  • Éviter de télécharger et d’exécuter des logiciels ou des médias provenant de sources non fiables ou non officielles, particulièrement les exécutables (.EXE).
  • Se méfier des instructions demandant d’exécuter des commandes inconnues dans PowerShell ou d’autres utilitaires en ligne de commande, surtout dans le cadre d’un processus de vérification de site web.
  • Éviter les logiciels piratés (cracks, outils “débloqués”).
  • Utiliser un bloqueur de publicités pour minimiser l’exposition aux liens promotionnels potentiellement malveillants sur les moteurs de recherche.

Source

Vous pourriez aimer