L’article publié par Intel 471 fournit une analyse complète de la famille de malwares Lumma infostealer, mettant en lumière ses méthodes de distribution via des campagnes de logiciels piratés et les efforts récents de perturbation par les forces de l’ordre.
L’analyse technique décrit l’implémentation de Lumma utilisant le crypteur CypherIT pour l’évasion, la méthodologie de déploiement du programme d’installation NSIS, et l’infrastructure de commande et contrôle. Les techniques de chasse aux menaces se concentrent sur la détection de modèles comportementaux où les attaquants utilisent Tasklist.exe avec Findstr pour énumérer les processus de sécurité en cours d’exécution.
Malgré des perturbations significatives de l’infrastructure en mai 2025, les opérateurs de Lumma ont restauré des parties de leur écosystème et continuent leurs opérations. Le paquet de chasse est compatible avec plusieurs plateformes SIEM/EDR et utilise les journaux Windows Sysmon pour identifier les activités potentiellement malveillantes à travers l’analyse des lignes de commande des processus et les relations parent-enfant des processus.
Cet article est une analyse technique visant à informer sur les méthodes de détection et de prévention contre le malware Lumma.
🧠 TTP et IOC détecté
TTP
Distribution via des logiciels piratés, évasion avec le crypteur CypherIT, déploiement avec le programme d’installation NSIS, commande et contrôle, utilisation de Tasklist.exe avec Findstr pour énumérer les processus de sécurité, analyse des lignes de commande des processus et relations parent-enfant des processus
🔗 Source originale : https://intel471.com/blog/threat-hunting-case-study-lumma-infostealer