Lumma Stealer – Évitez l’attaque CAPTCHA !

février 7, 2025
Non classé
3 min read

Une vaste campagne de malvertising a distribué le malware voleur d’informations Lumma Stealer en utilisant de fausses pages de vérification CAPTCHA. Ces pages incitent les utilisateurs à exécuter des commandes PowerShell pour soi-disant prouver qu’ils ne sont pas des robots.

Une propagation à grande échelle

Cette campagne malveillante s’est appuyée sur le réseau publicitaire Monetag pour afficher plus d’un million d’impressions publicitaires par jour sur environ trois mille sites web. Baptisée « DeceptionAds » par les chercheurs de Guardio Labs et Infoblox, elle est attribuée à un acteur malveillant connu sous le nom de « Vane Viper ».

Une évolution de la tactique ClickFix

DeceptionAds représente une version plus sophistiquée et dangereuse des attaques « ClickFix », où les victimes sont trompées pour exécuter des commandes PowerShell malveillantes, infectant ainsi leur propre appareil.

Les attaques ClickFix ont déjà utilisé plusieurs méthodes de diffusion, notamment des e-mails de phishing, de fausses pages CAPTCHA sur des sites de logiciels pirates, des pages Facebook malveillantes, et même des discussions sur GitHub redirigeant vers des pages piégées.

Ce qui distingue DeceptionAds des campagnes précédentes, c’est l’utilisation massive de la publicité sur un réseau légitime pour diriger des internautes inconscients vers ces pages CAPTCHA frauduleuses.

Le rôle du réseau publicitaire Monetag

Les cybercriminels exploitent le réseau publicitaire Monetag pour afficher des pop-ups incitant à télécharger des offres ou des services frauduleux. Ces publicités ciblent principalement les utilisateurs de plateformes de streaming et de logiciels pirates.

Lorsque l’utilisateur clique sur une annonce, un code obfusqué vérifie s’il s’agit d’un humain. Si validé, l’internaute est redirigé vers une fausse page CAPTCHA via le service de camouflage BeMob.

Bien que BeMob soit une plateforme légitime de suivi des performances publicitaires, les attaquants l’utilisent pour contourner les modérations de contenu en exploitant sa réputation.

Chaîne d’infection

La fausse page CAPTCHA intègre un script JavaScript qui copie silencieusement une commande PowerShell malveillante dans le presse-papiers de l’utilisateur.

Ensuite, la page affiche des instructions demandant à l’utilisateur de coller ce « code CAPTCHA » dans la fenêtre Exécuter de Windows et de l’exécuter. Une fois lancée, cette commande PowerShell télécharge Lumma Stealer depuis un serveur distant et l’exécute sur l’appareil de la victime.

Les dangers de Lumma Stealer

Lumma Stealer est un malware avancé capable de voler des cookies, identifiants, mots de passe, cartes de crédit et historiques de navigation sur des navigateurs comme Google Chrome, Microsoft Edge et Mozilla Firefox.

Il cible également les portefeuilles de cryptomonnaies, les clés privées et des fichiers contenant des informations sensibles, notamment ceux nommés seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt, et *.pdf.

Toutes ces données sont regroupées dans une archive envoyée aux attaquants, qui peuvent ensuite les exploiter pour d’autres attaques ou les vendre sur des marchés cybercriminels.

Interventions et résilience des attaquants

Guardio Labs a signalé cette activité à Monetag et BeMob. En réponse, Monetag a supprimé 200 comptes d’attaquants en huit jours, tandis que BeMob a bloqué la campagne en quatre jours.

Cependant, le 11 décembre, Guardio Labs a observé une tentative de relance de l’opération par les cybercriminels via un autre réseau publicitaire.

Comment se protéger ?

Les campagnes d’infostealers se multiplient à l’échelle mondiale, entraînant des fraudes financières, des atteintes à la vie privée, des fuites de données et même des attaques par ransomware.

En mai dernier, des attaquants ont utilisé des identifiants volés par des infostealers pour mener les cyberattaques massives contre Snowflake, affectant des entreprises comme Ticketmaster, AT&T et Advance Auto Parts.

Pour éviter ce type d’infections, il est crucial de ne jamais exécuter de commandes proposées par des sites web, surtout celles prétextant être des solutions de vérification CAPTCHA ou de réparation.

Enfin, l’utilisation de logiciels piratés ou de sites de streaming illégaux augmente les risques d’infection. Ces plateformes attirent des réseaux publicitaires plus laxistes, où les propriétaires de sites se concentrent sur la monétisation plutôt que sur la sécurité de leurs visiteurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Services
      Aperçu des services

      Cloud solutions

      IT Assessments

      IT Security

      Technology Procurement

      Virtual CTO

      IT Support

      Managed IT Services

      Managed Placements

      Technology Projects

      Policy & Procedure Management

      Web Development & Design

  • Produits
      Aperçu des produits
      BeeSecure

      BeeSecure

      SmartHand

      SmartHand

      IT Team-as-a-Service

      IT Team-as-a-Service

      CxO

  • Blog
  • Contact
  • English