Lumma Stealer : le super malware qui vole les comptes Gmail
Les cybercriminels ont mis à jour le redoutable malware Lumma Stealer qui peut désormais récupérer et modifier les cookies Google pour accéder à votre compte Gmail, à votre historique de recherche et à vos données bancaires.
Les cybercriminels ne reculent devant rien pour commettre leurs méfaits et mettent sans cesse au point des virus de plus en plus sophistiqués, et ce quel que soit l'appareil visé. Smartphones, iPhone, PC, Mac... Aucun n'est à l'abri ! Le but est toujours le même : siphonner le maximum de données personnelles et bancaires. Dernièrement, c'est un malware du nom de Lumma Stealer – également connu sous le nom de Lumma C2 – qui inquiète les chercheurs en cybersécurité. Vendu sur le Dark Web sous forme d'abonnement – pour des prix allant de 250 à 1 000 dollars – depuis 2022, il a été développé pour cibler les portefeuilles de cryptomonnaie, les extensions de navigateur et l'authentification à deux facteurs (2FA).
Lumma est capable d'exfiltrer des données sur le système et les programmes installés à partir d'appareils compromis. Ce malware vole entre autres les cookies, les noms d'utilisateur, les mots de passe, les numéros de carte de crédit, l'historique des connexions et les données des portefeuilles crypto. Mais il pourrait devenir encore plus redoutable qu'il ne l'était jusqu'à présent. Selon Alon Gal, le co-fondateur et CTO de l'entreprise de cybersécurité Hudson Rock, "un changement majeur est sur le point de se produire dans l'écosystème de la cybercriminalité". Selon lui, l'équipe à l'origine de Lumma aurait trouvé un moyen "d'exfiltrer les cookies Google d'ordinateurs infectés. Ces cookies n'expireront pas et ne seront pas révoqués même si le propriétaire change de mot de passe". Avec cette méthode, le malware serait capable d'exfiltrer les cookies Google pour accéder à votre compte Gmail, mais aussi à votre historique de recherche et à vos données bancaires. "Il en résultera un changement majeur dans le monde de la cybercriminalité, permettant aux pirates d'infiltrer encore plus de comptes et de mener des attaques significatives", alerte le chercheur.
Lumma Stealer : le malware qui réactive les cookies expirés
Pour dérober vos informations les plus personnelles, Lumma Stealer récolte les cookies Google, ces fameux petits fichiers stockés sur les appareils (ordinateur, smartphone, etc.) par les navigateurs Web dès lors que vous naviguez sur des sites Internet. Parmi ces derniers, on trouve des cookies dits "internes" qui, déposés par les sites visités – dont les services Google –, permettent la tenue des sessions de navigation, en faisant en sorte que les sites reconnaissent le visiteur, vous évitant ainsi de vous reconnecter à chaque fois. Mais ces cookies ont une date d'expiration, par mesure de sécurité, ce qui vous oblige à rentrer de nouveau vos codes. Aussi, on ne peut pas, en théorie, les réutiliser une fois que la session de navigation est terminée. Mais avec cette évolution de Lumma, les hackers pourraient se connecter à votre compte Google soit avec les cookies actifs, soit en restaurant ceux normalement devenus obsolètes. Ils auraient alors tout le loisir de lire vos e-mails, consulter votre historique de recherche, et même modifier les paramètres de vos comptes afin d'usurper votre identité.
Mais ce n'est pas tout ! Les chercheurs de la société de cybersécurité suédoise Outpost24 ont découvert que, grâce à la trigonométrie, la dernière version du malware peut analyser les mouvements du curseur de la souris et détecter le comportement humain. Concrètement, il suit la position du curseur de la souris puis applique la trigonométrie pour analyser les positions enregistrées sous forme de vecteurs euclidiens, calculant les angles et les magnitudes. Cela lui permet de distinguer s'il s'exécute sur une machine réelle ou dans un environnement sandbox – une plateforme virtuelle spécialement conçue pour tester uniquement le code à risque, et donc utilisée par les chercheurs en cybersécurité. De cette façon, il devient plus difficile à détecter et à comprendre. Sans compter qu'il intègre des obstacles dans son code pour confondre les logiciels d'analyse.
Étant donné le prix demandé pour utiliser ce service, Lumma Stealer ne s'adresse pas à tous les cybercriminels, mais plutôt à ceux souhaitant s'attaquer à des victimes bien spécifiques ou à des organisations. Toutefois, cela ne nous empêche pas de prendre des mesures pour compliquer la tâche des pirates. D'ailleurs, Google prend maintenant en charge les passkeys, considérés comme bien plus fiables et sécurisés que les traditionnels mots de passe (voir notre article).