Veille & Réaction
Publié le
31/7/2024 11:17
12
minutes de lecture

Comprendre LummaC2, l'infostealer qui menace la sécurité de votre entreprise

Cet article a été mis à jour le
31/7/2024 11:17

Classés en tête des Malware-as-a-Service (MaaS) par cybermalveillance.gouv.fr, les infostealers (voleurs d'informations en français), sont des programmes informatiques malveillants, conçus pour dérober les données personnelles des utilisateurs des appareils qu'ils infectent. Selon les fonctionnalités prévues, les infostealers subtilisent des identifiants, des mots de passe, des cookies de session, des numéros de carte bancaire, des portefeuilles de crypto-monnaies…

Généralement commercialisés sous forme de solution clé-en-main sur le darkweb ou sur des canaux Telegram dédiés, les infostealers en MaaS sont accessibles à des novices disposant de peu de compétences techniques, appelés script kiddies. Ce modèle contribue à la propagation de ce type d'attaques et à la croissance des infostealers. Le monde de l'entreprise n'en est pas épargné. Les chercheurs Kapersky estiment que 53% des appareils compromis sont des appareils professionnels.

L'enjeu pour les professionnels est de pouvoir détecter la présence des infostealers, et de mettre en place des mesures pour éviter le vol de données.

LummaC2, un infostealer très répandu

L'équipe CTI (Cyber Threat Intelligence) d’Akyl propose à ses clients un service de cyberveille pour détecter les fuites de données des organisations. Les principaux infostealers rencontrés dans le cadre de cette veille sont Redline, Raccoon, RisePro, Metastealer, Steal C, Rhadamantys stealer, et LummaC2.

L’analyse des données recueillies au cours du deuxième trimestre 2024 montrent une recrudescence de l’infostealer LummaC2. En effet, 54% des alertes de fuites d'identité impliquant des infostealers étaient liées à LummaC2.

Répartition des infostealers en cause dans les alertes de fuites de données (cyberveille Akyl, 2ème trimestre 2024)

Caractéristiques de l'infostealer LummaC2

LummaC2, également nommé Lumma stealer, a fait son apparition en décembre 2022.  Il est développé par des cyberattaquants supposément russes connus sous le pseudonyme de «Shamel». Le malware est commercialisé via un canal Telegram et un site internet dédié, selon des systèmes d'abonnement mensuels à 250$, 500$ et 1000$. Les auteurs passent également par ces canaux pour publier de manière récurrente les mises à jour sur les fonctionnalités du malware.

L'infostealer LummaC2 est développé en C++ et communique avec un serveur de Command-and-Control (C2) pour déployer ses payload et collecter les données volées. Il cible les navigateurs navigateurs basés sur Chromium et Mozilla tels que google Chrome, Brave, Opera ou Mozilla Firefox.

Comme la grande majorité des infostealers, LummaC2 collecte une large palette de données personnelles enregistrées dans les navigateurs, notamment :

  • l’historique de navigation,
  • les cookies de session,
  • les identifiants de connexion,
  • les mots de passes sauvegardés,
  • les informations des moyens de paiement sauvegardés,
  • des portefeuilles de cryptomonnaies,
  • des fichiers d’extension.txt présent sur le bureau.

En plus des données personnelles, ils récupèrent des métadonnées de l’appareil infecté (adresse IP, logiciels installés, antivirus, etc.) et une capture d’écran de l’appareil et effectuée lors de l’installation du malware.

Exemple d'arborescence de données recueillies lors d'un vol de données par LummaC2
Exemple d'arborescence de données recueillies lors d'un vol de données par LummaC2

Le logiciel malveillant étant développé par des acteurs russophones, LummaC2 est configuré par défaut pour éviter de compromettre les appareils situés en Russie et en Biélorussie, prétendument pour des « raisons éthiques ».

Message des auteurs de LummaC2 sur la désactivation du malware sur les appareils russes et biélorusses
Message des auteurs de LummaC2 sur la désactivation du malware sur les appareils russes et biélorusses

Pourquoi LummaC2 est un infostealer redoutable ?

En complément des fonctionnalités précédemment citées, les créateurs de LummaC2 affirment pouvoir collecter et de restaurer des cookies de session de compte Google même expirés, ainsi que des données des extensions de navigateur à double authentification.

Aperçu du panneau de configuration de Lumma stealer permettant de faire la restauration de cookies de connexion Google
Aperçu du panneau de configuration de Lumma stealer permettant de faire la restauration de cookies de connexion Google

En 2024, les auteurs ont développé de nouvelles fonctionnalités qui confèrent à LummaC2 la capacité de voler, en plus des éléments précités :

  • des cookies de connexion Discord,
  • des identifiants de connexion depuis protonVPN, NordVPN, NordPass.
  • des fichiers PDF présents sur le bureau.
Vol de données dont des fichiers PDF après une compromission par LummaC2. L’appareil compromis est celui d’un script kiddie.
Vol de données dont des fichiers PDF après une compromission par LummaC2. L’appareil compromis est celui d’un script kiddie.

Ces nouvelles fonctionnalités en font un infostealer redoutable en matière de risque pour la confidentialité des données personnelles.

En outre, les auteurs de l’infostealer promettent un taux d’efficacité moyen de 75-80%. Ces diverses caractéristiques expliquent la popularité du malware dans l’univers des infostealers.

Cette observation est partagée par l’entreprise américaine, ReliaQuest qui estime que le nombre de fuites (appelées logs ou logz) issues de LummaC2, et proposées à la vente sur le darkweb, a bondi de 110% entre le 3ème et le 4ème trimestres 2023. Cet accroissement serait lié à son taux d’efficacité, son interface simple d’utilisation et sa capacité à passer inaperçu lors de l’infection du système hôte.

Comment se propage LummaC2 ?

L’objectif des attaquants à l’origine de la distribution des infostealers, est d’emmener le plus  grand nombre d’utilisateurs à télécharger et à installer les programmes malveillants sans en avoir conscience. Ils utilisent des techniques de camouflages assez variées à l’instar de fausses mises à jour de navigateur, des faux sites de téléchargement d’anti-virus etc.

Des cyberattaquants passent également par des tutoriels d‘installation des logiciels crackés sur Youtube pour diffuser le malware. Ce type de campagne est notamment efficace auprès des apprentis-pirates (script kiddies).

Lors de ce processus d’attaque, les vidéos sont accompagnées d’URLs raccourcies malveillantes pour télécharger les logiciels crackés. Ces URLs redirigent vers des plateformes telles que Github ou Mediafire, que les attaquants exploitent pour déployer la charge utile responsable de récupérer le malware LummaC2.

Vidéo Youtube avec un lien de téléchargement potentiellement malveillant d’un logiciel cracké. L’auteur recommande de désactiver l’antivirus
Vidéo Youtube avec un lien de téléchargement potentiellement malveillant d’un logiciel cracké. L’auteur recommande de désactiver l’antivirus

Il arrive que la victime soit invitée à désactiver les barrières de protection telles que les anti-virus pour permettre l’installation du logiciel. Elle favorise ainsi à son insu la compromission de son appareil.

Capture d’écran effectuée par le malware lors de son installation. Celle-ci montre la désactivation d'un antivirus lors du téléchargement d’un logiciel cracké
Capture d’écran effectuée par le malware lors de son installation. Celle-ci montre la désactivation d'un antivirus lors du téléchargement d’un logiciel cracké

Les conséquences d'une compromission par LummaC2 : Risques et impact et pour votre sécurité

Les données volées par les infostealers sont souvent revendues sur des forums et des marketplaces du darkweb et de Telegram telles que XSS, Russian market, Exploit.in... Elles peuvent être utilisées pour commettre d'autres actes cyber malveillants d'ampleur plus ou moins variables. Voici quelques exemples notables :

Campagnes de phishing ou de spam

Les adresses emails récupérées sont compilées dans des listes (email list, spam list...) qui sont diffusées sur le darkweb et sur Telegram. Ces listes peuvent, à leur tour, être exploitées dans des campagnes de phishing massives ou d'envoi de spams.

Campagnes de credential stuffing

Les données d’authentification (adresse email, mots de passe et cookies de session) sont compilées dans des listes (combolist, spam list...) qui sont diffusées sur le darkweb et sur Telegram. Les attaquants peuvent ensuite mener des attaques par credential stuffing pour obtenir d'autres accès. Dans cette attaque, les acteurs malveillants réutilisent les identifiants volés pour essayer de se connecter à d'autres services en ligne. L'idée est que les utilisateurs réutilisent souvent les mêmes identifiants et mots de passe sur différents sites, ce qui permet aux attaquants d'accéder à plusieurs comptes avec les mêmes informations de connexion.

Accès initial pour une cyberattaque plus évoluée

Les éléments d’authentification professionnels volés peuvent être utilisés par un attaquant pour obtenir un accès initial non autorisé, lors d'une tentative d’intrusion dans un système d’information pour une cyberattaque de plus grande ampleur comme une attaque par ransomware.

Fraude à la carte bancaire

Dans l’hypothèse où des données bancaires ont été enregistrées et qu’elles sont collectés lors du vol de données, les attaquants peuvent également essayer de les exploiter pour effectuer des fraudes à la carte bancaire et vous causer un préjudice financier.

Prise de contrôle à distance et surveillance de la communication

Dans le cas où les données volées sont sensibles, elles pourraient être utilisées par un attaquant pour accéder à la communication professionnelle ou effectuer des opérations de surveillance. Les attaquants pourraient ainsi compromettre la confidentialité de vos données, celles que vous collectez et traitez y compris celles de vos partenaires dont vous êtes en possession.

Comment détecter le vol de données par un infostealer comme LummaC2 ?

Tout comme un voleur, l'objectif d'un infostealer est d'être le plus discret possible et d'être persistant. En effet, il n’est pas toujours évident de détecter la présence de LummaC2 sur un appareil, surtout en l’absence d’un antivirus ou d’un EDR performant. Néanmoins, il est possible de suspecter une fuite donnée liée à un infostealer :

  • Si vous faites de la veille régulière sur le darkweb et les groupes Telegram,
  • Si vous avez mis en place un système d’alerte sur les données fuitées pour vos noms de domaine,
  • Ou suite à l'exploitation des données volées (détection de fraudes, connexions anormales...).

Avec la veille CTI d’Akyl, les entreprises reçoivent des alertes quotidiennes sur les éventuelles fuites d’identité. L’analyse des données fuitées permet d'établir l'hypothèse d'une compromission d'un appareil par un infostealer, lorsque c’est le cas.

Cette analyse couplée à une investigation par nos analystes permet d'évaluer l'ampleur du vol de données et d'identifier les indicateurs de compromission (IoC) associés. Il est donc vivement recommandé pour les entreprises de souscrire à un système de veille sur les fuites d’identité pour pouvoir être informé en cas de vol de données personnelles.

Que faire si vos données ont été volées par LummaC2 ?

Si une fuite de données n'est malheureusement pas réversible, des actions peuvent être mises en place pour en limiter les effets et prévenir une aggravation de la situation.

Être informé et informer : pour être en mesure d’agir suite à une attaque par Lumma stealer, il faut avoir été alerté au sujet de la fuite de données. La mise en place d’une alerte sur les fuites d’identité, couplée à une investigation sont les moyens les plus rapides et efficaces pour avoir connaissance d’une attaque par un infostealer comme LummaC2. Il est ensuite nécessaire d’informer les personnes ressources afin qu’ils accompagnent les victimes dans la mise en place des mesures d’atténuation nécessaires.

Réinitialiser l'appareil compromis: il est préférable de réinitialiser l’appareil pour éliminer le malware et d’autres logiciels malveillants auxquels il pourrait être couplé.

Changer les mots de passe et réinitialiser les sessions actives : les données personnelles ayant fuité seront très probablement utilisées par les attaquants ou les acheteurs de données fuitées pour obtenir des accès non autorisés. Pour contrecarrer cela, il est prioritaire de changer les mots de passe et de réinitialiser les sessions actives.

Utiliser un gestionnaire de mot de passe  : en complément du changement de mots de passe, l’usage d’un gestionnaire de mots de passe est essentiel. Il vous permettra générer des mots de passe robustes et uniques et vous évitera de les sauvegarder dans les navigateurs qui sont la cible de LummaC2.

Contacter les différentes parties prenantes : dans la mesure où la nature des données fuitées est connue, et qu’il s’agit de données sensibles telles que des numéros de carte bancaire ou des données administratives, il sera nécessaire de contacter les différents opérateurs afin de prendre des mesures de précaution et d’anticiper une éventuelle exploitation de ces données.

Comment protéger vos données personnelles contre LummaC2 : conseils de prévention

Suivez ces quelques bonnes pratiques permet dans la majorité des cas d'éviter de se faire voler ses données personnelles par LummaC2 :

  • Assurez vous que votre système d'exploitation et vos applications sont à jour avec les derniers correctifs de sécurité.
  • Utilisez un gestionnaire de mot de passe pour éviter de les sauvegarder dans  les navigateurs ou des fichiers sur vos appareils. Cela vous permet également d’avoir des mots de passe robustes et uniques.
  • Privilégiez les téléchargements de logiciels sur les sites web des éditeurs et n’installez pas de logiciels crackés.
  • Dès que possible, activez l’authentification à deux facteurs (MFA, 2FA) pour ajouter une couche de sécurité supplémentaire lors de l’identification.
  • Soyez vigilant lors de l'ouverture des pièces jointes même s'il s'agit d'un utilisateur de confiance (sa boite mail peut avoir été piratée).
  • Utilisez un antivirus pour détecter et bloquer les menaces connues, maintenez-le à jour et ne le désactivez jamais. L’utilisation d’un EDR permet également de surveiller en temps réel, détecter les comportements suspects et répondre rapidement aux attaques.

Toutefois, l'erreur étant humaine et les cyberattaquants ne cessant de développer leur créativité, toutes ces précautions ne garantissent pas une protection sans faille. Il est judicieux de compléter la mise en place de ces bonnes pratiques avec une cyberveille régulière, afin de pouvoir réagir dans les délais en cas de vol de données.

Avec la veille CTI d’Akyl vous êtes alertés sur les éventuelles fuites d’identité professionnelles. Notre veille cyber couvre un spectre large de sources dont le darkweb et Telegram, où se déroulent principalement les échanges des données volées par les infostealers.

Prenez contact avec un expert Akyl pour échanger sur vos besoins, faire un essai gratuit ou commencer votre veille.

Poursuivez la lecture

Ne vous arrêtez pas là ! L'article complet est disponible gratuitement et sans inscription sur la plateforme Medium.

Lire l'article complet
Consulter l'article
Cette page est un résumé de l'article complet disponible gratuitement et sans inscription sur la plateforme Medium.
Lire l'article complet
A propos de l'auteur
Ornella Aveko
Par
Ornella Aveko
Analyste CTI
Ornella intervient sur les sujets de Cyber Threat Intelligence. Elle réalise pour nos clients des opérations de veille sur les menaces, des investigations en source ouverte et des analyses des fuites de données.
A propos d'Akyl
Akyl est un cabinet de conseil et d’audit en cybersécurité. Nous proposons une offre à 360° sur les métiers de la cybersécurité et de la cyberdéfense. Nous sommes un acteur 100% français et 100% indépendant, qui assure la continuité indispensable entre la cyberdéfense et la crise.
En savoir plus sur Akyl
Découvrir nos services

Nos autres articles

Veille & Réaction
Comprendre LummaC2, l'infostealer qui menace la sécurité de votre entreprise
12
minutes de lecture
Publié le
31/7/2024 11:17
Veille & Réaction
Qu’est-ce que le dark web ? Au-delà des clichés, le dark web expliqué simplement
6
minutes de lecture
Publié le
31/7/2024 11:17
Veille & Réaction
5 outils gratuits pour éviter les cyberattaques grâce à une veille cyber
7
minutes de lecture
Publié le
11/10/2023 16:34
Newsletter
Recevez nos conseils et nos alertes

Maximum 1 email par mois, révocable à tout moment.

Merci d'avoir souscrit à notre newsletter !
Vous recevrez bientôt un email de confirmation
avec les détails de votre inscription.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Akyl
SÉCURISATION
Audit & tests d'intrusionPhishing & fraude
VEILLE & RÉACTION
Veille cybersécuritéRéponse à incident
Akyl © 2024. Tous droits réservés.