Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur.

Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC.
Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion.

Faits clés

  • Depuis la semaine du 20 octobre 2025, Lumma Stealer :
    • reprend son activité,
    • introduit un module avancé de browser fingerprinting,
    • renforce sa furtivité dans les navigateurs via des injections de threads.
  • Le malware utilise désormais MicrosoftEdgeUpdate.exe pour injecter du code dans des processus Chrome légitimes, camouflant ses actions dans du trafic navigateur normal.
  • Nouveau canal C2 : un endpoint dédié au fingerprinting, /api/set_agent, recevant et renvoyant des données collectées via du JavaScript embarqué.
  • Données collectées : empreintes WebGL/canvas, audio, WebRTC, caractéristiques système (CPU, RAM, OS), extensions, police installées, résolution écran, user agent, etc.
  • Le script renvoie les données en POST JSON, puis redirige vers about:blank pour minimiser les soupçons de l’utilisateur.
  • Les mécanismes C2 historiques restent actifs (UID, CID), assurant la compatibilité avec l’infrastructure existante.
  • Trend Micro observe un repli stratégique des opérateurs sur les forums souterrains, mais pas un arrêt des ventes (logs toujours disponibles).

Tactiques / Techniques observées (TTPs)

  • Injection de processus : remote thread injection via MicrosoftEdgeUpdate.exe → Chrome.exe.
  • C2 HTTP furtif : communications WinHTTP vers des domaines C2 toujours actifs.
  • Fingerprinting avancé :
    • WebGL, Canvas, AudioContext, WebRTC,
    • collecte système (CPU, mémoire, plugins, résolutions),
    • sérialisation JSON + envoi POST vers /api/set_agent.
  • Évasion & anti-analyse :
    • détection de VM / sandbox via caractéristiques matérielles,
    • exécution dans un processus navigateur de confiance.
  • Persistance opérationnelle malgré des C2 obsolètes (certains domaines sinkhole Microsoft dans des échantillons récents).

Évaluation de la menace

  • Le fingerprinting détaillé permet :
    • la détection d’environnements d’analyse ou de VM,
    • une sélection dynamique des charges utiles selon le profil de la victime,
    • un renforcement de sa furtivité réseau.
  • Le maintien de l’ancien schéma C2 assure la stabilité opérationnelle.
  • L’usage de processus navigateurs légitimes + HTTP standard rend la détection beaucoup plus difficile.
  • Les opérateurs restent actifs mais discrets pour éviter la pression des forces de l’ordre.

Recommandations de sécurité (haut niveau)

  • Renforcer la vigilance sur :
    • phishing / emails piégés,
    • publicités malveillantes,
    • CAPTCHAs inhabituels demandant installation ou interactions anormales.
  • Appliquer :
    • contrôles stricts d’installation (Application Allowlisting, règles UAC),
    • MFA systématique,
    • durcissement des navigateurs et surveillance réseau des anomalies HTTP.
  • Trend Micro indique que Trend Vision One détecte et bloque les IoC liés à ces nouvelles tactiques.

Type d’article: analyse de menace visant à informer sur l’évolution des capacités et de l’activité de Lumma Stealer.

🔗 Source originale : https://gbhackers.com/lumma-stealer/