Classés en tête des Malware-as-a-Service (MaaS) par cybermalveillance.gouv.fr, les infostealers (voleurs d'informations en français), sont des programmes informatiques malveillants, conçus pour dérober les données personnelles des utilisateurs des appareils qu'ils infectent. Selon les fonctionnalités prévues, les infostealers subtilisent des identifiants, des mots de passe, des cookies de session, des numéros de carte bancaire, des portefeuilles de crypto-monnaies…
Généralement commercialisés sous forme de solution clé-en-main sur le darkweb ou sur des canaux Telegram dédiés, les infostealers en MaaS sont accessibles à des novices disposant de peu de compétences techniques, appelés script kiddies. Ce modèle contribue à la propagation de ce type d'attaques et à la croissance des infostealers. Le monde de l'entreprise n'en est pas épargné. Les chercheurs Kapersky estiment que 53% des appareils compromis sont des appareils professionnels.
L'enjeu pour les professionnels est de pouvoir détecter la présence des infostealers, et de mettre en place des mesures pour éviter le vol de données.
LummaC2, un infostealer très répandu
L'équipe CTI (Cyber Threat Intelligence) d’Akyl propose à ses clients un service de cyberveille pour détecter les fuites de données des organisations. Les principaux infostealers rencontrés dans le cadre de cette veille sont Redline, Raccoon, RisePro, Metastealer, Steal C, Rhadamantys stealer, et LummaC2.
L’analyse des données recueillies au cours du deuxième trimestre 2024 montrent une recrudescence de l’infostealer LummaC2. En effet, 54% des alertes de fuites d'identité impliquant des infostealers étaient liées à LummaC2.
Caractéristiques de l'infostealer LummaC2
LummaC2, également nommé Lumma stealer, a fait son apparition en décembre 2022. Il est développé par des cyberattaquants supposément russes connus sous le pseudonyme de «Shamel». Le malware est commercialisé via un canal Telegram et un site internet dédié, selon des systèmes d'abonnement mensuels à 250$, 500$ et 1000$. Les auteurs passent également par ces canaux pour publier de manière récurrente les mises à jour sur les fonctionnalités du malware.
L'infostealer LummaC2 est développé en C++ et communique avec un serveur de Command-and-Control (C2) pour déployer ses payload et collecter les données volées. Il cible les navigateurs navigateurs basés sur Chromium et Mozilla tels que google Chrome, Brave, Opera ou Mozilla Firefox.
Comme la grande majorité des infostealers, LummaC2 collecte une large palette de données personnelles enregistrées dans les navigateurs, notamment :
- l’historique de navigation,
- les cookies de session,
- les identifiants de connexion,
- les mots de passes sauvegardés,
- les informations des moyens de paiement sauvegardés,
- des portefeuilles de cryptomonnaies,
- des fichiers d’extension.txt présent sur le bureau.
En plus des données personnelles, ils récupèrent des métadonnées de l’appareil infecté (adresse IP, logiciels installés, antivirus, etc.) et une capture d’écran de l’appareil et effectuée lors de l’installation du malware.
Le logiciel malveillant étant développé par des acteurs russophones, LummaC2 est configuré par défaut pour éviter de compromettre les appareils situés en Russie et en Biélorussie, prétendument pour des « raisons éthiques ».
Pourquoi LummaC2 est un infostealer redoutable ?
En complément des fonctionnalités précédemment citées, les créateurs de LummaC2 affirment pouvoir collecter et de restaurer des cookies de session de compte Google même expirés, ainsi que des données des extensions de navigateur à double authentification.
En 2024, les auteurs ont développé de nouvelles fonctionnalités qui confèrent à LummaC2 la capacité de voler, en plus des éléments précités :
- des cookies de connexion Discord,
- des identifiants de connexion depuis protonVPN, NordVPN, NordPass.
- des fichiers PDF présents sur le bureau.
Ces nouvelles fonctionnalités en font un infostealer redoutable en matière de risque pour la confidentialité des données personnelles.
En outre, les auteurs de l’infostealer promettent un taux d’efficacité moyen de 75-80%. Ces diverses caractéristiques expliquent la popularité du malware dans l’univers des infostealers.
Cette observation est partagée par l’entreprise américaine, ReliaQuest qui estime que le nombre de fuites (appelées logs ou logz) issues de LummaC2, et proposées à la vente sur le darkweb, a bondi de 110% entre le 3ème et le 4ème trimestres 2023. Cet accroissement serait lié à son taux d’efficacité, son interface simple d’utilisation et sa capacité à passer inaperçu lors de l’infection du système hôte.
Comment se propage LummaC2 ?
L’objectif des attaquants à l’origine de la distribution des infostealers, est d’emmener le plus grand nombre d’utilisateurs à télécharger et à installer les programmes malveillants sans en avoir conscience. Ils utilisent des techniques de camouflages assez variées à l’instar de fausses mises à jour de navigateur, des faux sites de téléchargement d’anti-virus etc.
Des cyberattaquants passent également par des tutoriels d‘installation des logiciels crackés sur Youtube pour diffuser le malware. Ce type de campagne est notamment efficace auprès des apprentis-pirates (script kiddies).
Lors de ce processus d’attaque, les vidéos sont accompagnées d’URLs raccourcies malveillantes pour télécharger les logiciels crackés. Ces URLs redirigent vers des plateformes telles que Github ou Mediafire, que les attaquants exploitent pour déployer la charge utile responsable de récupérer le malware LummaC2.
Il arrive que la victime soit invitée à désactiver les barrières de protection telles que les anti-virus pour permettre l’installation du logiciel. Elle favorise ainsi à son insu la compromission de son appareil.
Les conséquences d'une compromission par LummaC2 : Risques et impact et pour votre sécurité
Les données volées par les infostealers sont souvent revendues sur des forums et des marketplaces du darkweb et de Telegram telles que XSS, Russian market, Exploit.in... Elles peuvent être utilisées pour commettre d'autres actes cyber malveillants d'ampleur plus ou moins variables. Voici quelques exemples notables :
Campagnes de phishing ou de spam
Les adresses emails récupérées sont compilées dans des listes (email list, spam list...) qui sont diffusées sur le darkweb et sur Telegram. Ces listes peuvent, à leur tour, être exploitées dans des campagnes de phishing massives ou d'envoi de spams.
Campagnes de credential stuffing
Les données d’authentification (adresse email, mots de passe et cookies de session) sont compilées dans des listes (combolist, spam list...) qui sont diffusées sur le darkweb et sur Telegram. Les attaquants peuvent ensuite mener des attaques par credential stuffing pour obtenir d'autres accès. Dans cette attaque, les acteurs malveillants réutilisent les identifiants volés pour essayer de se connecter à d'autres services en ligne. L'idée est que les utilisateurs réutilisent souvent les mêmes identifiants et mots de passe sur différents sites, ce qui permet aux attaquants d'accéder à plusieurs comptes avec les mêmes informations de connexion.
Accès initial pour une cyberattaque plus évoluée
Les éléments d’authentification professionnels volés peuvent être utilisés par un attaquant pour obtenir un accès initial non autorisé, lors d'une tentative d’intrusion dans un système d’information pour une cyberattaque de plus grande ampleur comme une attaque par ransomware.
Fraude à la carte bancaire
Dans l’hypothèse où des données bancaires ont été enregistrées et qu’elles sont collectés lors du vol de données, les attaquants peuvent également essayer de les exploiter pour effectuer des fraudes à la carte bancaire et vous causer un préjudice financier.
Prise de contrôle à distance et surveillance de la communication
Dans le cas où les données volées sont sensibles, elles pourraient être utilisées par un attaquant pour accéder à la communication professionnelle ou effectuer des opérations de surveillance. Les attaquants pourraient ainsi compromettre la confidentialité de vos données, celles que vous collectez et traitez y compris celles de vos partenaires dont vous êtes en possession.
Comment détecter le vol de données par un infostealer comme LummaC2 ?
Tout comme un voleur, l'objectif d'un infostealer est d'être le plus discret possible et d'être persistant. En effet, il n’est pas toujours évident de détecter la présence de LummaC2 sur un appareil, surtout en l’absence d’un antivirus ou d’un EDR performant. Néanmoins, il est possible de suspecter une fuite donnée liée à un infostealer :
- Si vous faites de la veille régulière sur le darkweb et les groupes Telegram,
- Si vous avez mis en place un système d’alerte sur les données fuitées pour vos noms de domaine,
- Ou suite à l'exploitation des données volées (détection de fraudes, connexions anormales...).
Avec la veille CTI d’Akyl, les entreprises reçoivent des alertes quotidiennes sur les éventuelles fuites d’identité. L’analyse des données fuitées permet d'établir l'hypothèse d'une compromission d'un appareil par un infostealer, lorsque c’est le cas.
Cette analyse couplée à une investigation par nos analystes permet d'évaluer l'ampleur du vol de données et d'identifier les indicateurs de compromission (IoC) associés. Il est donc vivement recommandé pour les entreprises de souscrire à un système de veille sur les fuites d’identité pour pouvoir être informé en cas de vol de données personnelles.
Que faire si vos données ont été volées par LummaC2 ?
Si une fuite de données n'est malheureusement pas réversible, des actions peuvent être mises en place pour en limiter les effets et prévenir une aggravation de la situation.
Être informé et informer : pour être en mesure d’agir suite à une attaque par Lumma stealer, il faut avoir été alerté au sujet de la fuite de données. La mise en place d’une alerte sur les fuites d’identité, couplée à une investigation sont les moyens les plus rapides et efficaces pour avoir connaissance d’une attaque par un infostealer comme LummaC2. Il est ensuite nécessaire d’informer les personnes ressources afin qu’ils accompagnent les victimes dans la mise en place des mesures d’atténuation nécessaires.
Réinitialiser l'appareil compromis: il est préférable de réinitialiser l’appareil pour éliminer le malware et d’autres logiciels malveillants auxquels il pourrait être couplé.
Changer les mots de passe et réinitialiser les sessions actives : les données personnelles ayant fuité seront très probablement utilisées par les attaquants ou les acheteurs de données fuitées pour obtenir des accès non autorisés. Pour contrecarrer cela, il est prioritaire de changer les mots de passe et de réinitialiser les sessions actives.
Utiliser un gestionnaire de mot de passe : en complément du changement de mots de passe, l’usage d’un gestionnaire de mots de passe est essentiel. Il vous permettra générer des mots de passe robustes et uniques et vous évitera de les sauvegarder dans les navigateurs qui sont la cible de LummaC2.
Contacter les différentes parties prenantes : dans la mesure où la nature des données fuitées est connue, et qu’il s’agit de données sensibles telles que des numéros de carte bancaire ou des données administratives, il sera nécessaire de contacter les différents opérateurs afin de prendre des mesures de précaution et d’anticiper une éventuelle exploitation de ces données.
Comment protéger vos données personnelles contre LummaC2 : conseils de prévention
Suivez ces quelques bonnes pratiques permet dans la majorité des cas d'éviter de se faire voler ses données personnelles par LummaC2 :
- Assurez vous que votre système d'exploitation et vos applications sont à jour avec les derniers correctifs de sécurité.
- Utilisez un gestionnaire de mot de passe pour éviter de les sauvegarder dans les navigateurs ou des fichiers sur vos appareils. Cela vous permet également d’avoir des mots de passe robustes et uniques.
- Privilégiez les téléchargements de logiciels sur les sites web des éditeurs et n’installez pas de logiciels crackés.
- Dès que possible, activez l’authentification à deux facteurs (MFA, 2FA) pour ajouter une couche de sécurité supplémentaire lors de l’identification.
- Soyez vigilant lors de l'ouverture des pièces jointes même s'il s'agit d'un utilisateur de confiance (sa boite mail peut avoir été piratée).
- Utilisez un antivirus pour détecter et bloquer les menaces connues, maintenez-le à jour et ne le désactivez jamais. L’utilisation d’un EDR permet également de surveiller en temps réel, détecter les comportements suspects et répondre rapidement aux attaques.
Toutefois, l'erreur étant humaine et les cyberattaquants ne cessant de développer leur créativité, toutes ces précautions ne garantissent pas une protection sans faille. Il est judicieux de compléter la mise en place de ces bonnes pratiques avec une cyberveille régulière, afin de pouvoir réagir dans les délais en cas de vol de données.
Avec la veille CTI d’Akyl vous êtes alertés sur les éventuelles fuites d’identité professionnelles. Notre veille cyber couvre un spectre large de sources dont le darkweb et Telegram, où se déroulent principalement les échanges des données volées par les infostealers.
Prenez contact avec un expert Akyl pour échanger sur vos besoins, faire un essai gratuit ou commencer votre veille.