Une campagne de phishing massive utilise de faux CAPTCHA pour diffuser le malware Lumma Stealer

Les cybercriminels intensifient leurs efforts avec une nouvelle campagne de phishing à grande échelle qui diffuse le malware Lumma Stealer via de fausses images CAPTCHA intégrées dans des fichiers PDF. Selon Netskope Threat Labs, cette campagne a déjà compromis plus de 7 000 utilisateurs dans 1 150 organisations, ciblant principalement les secteurs de la technologie, des services financiers et de l'industrie manufacturière en Amérique du Nord, en Asie et en Europe du Sud.

Les chercheurs ont découvert 5 000 fichiers PDF malveillants hébergés sur 260 domaines différents, dont beaucoup appartiennent à Webflow, GoDaddy, Strikingly, Wix et Fastly. Les attaquants utilisent des manipulations SEO pour inciter les victimes à cliquer sur ces documents à partir des résultats des moteurs de recherche, les redirigeant vers des sites conçus pour voler les informations de carte de crédit ou infecter leurs systèmes avec le malware Lumma Stealer.

Comment fonctionne l'attaque

Les pirates distribuent des fichiers PDF contenant de fausses images CAPTCHA. Les victimes qui cliquent sur ces CAPTCHA sont redirigées vers des sites Web malveillants où elles sont soit amenées à saisir des informations financières sensibles, soit infectées par un logiciel malveillant via une attaque basée sur PowerShell.

La variante Lumma Stealer de cette campagne est déployée via une technique ClickFix, qui incite les utilisateurs à exécuter une commande MSHTA. Cette commande exécute un script PowerShell caché qui télécharge et installe le malware Lumma Stealer sur le système de la victime.

Principales tactiques utilisées dans cette campagne

  • Empoisonnement de l’optimisation des moteurs de recherche (SEO) – Des PDF malveillants sont téléchargés dans des bibliothèques et des référentiels en ligne tels que PDFCOFFEE, PDF4PRO, PDFBean et Internet Archive, ce qui les fait apparaître dans des résultats de recherche légitimes.
  • Fausse vérification CAPTCHA – Les victimes qui tentent de se « vérifier » en cliquant sur le CAPTCHA exécutent sans le savoir des commandes malveillantes.
  • Exploits MSHTA et PowerShell – L’attaque contourne les défenses de sécurité en utilisant des utilitaires Windows fiables pour exécuter des logiciels malveillants.
  • Infrastructure d’hébergement répandue – Les fichiers PDF de phishing sont répartis sur des centaines de domaines , ce qui rend les efforts de suppression plus difficiles.

Lumma Stealer : un voleur d'informations dangereux en plein essor

Lumma Stealer est un outil Malware-as-a-Service (MaaS) conçu pour collecter des données sensibles à partir de machines Windows compromises. Il peut voler des identifiants de connexion, des cookies de navigateur, des portefeuilles cryptographiques et d'autres informations précieuses.

Récemment, les opérateurs de Lumma ont étendu leurs capacités en intégrant GhostSocks, un proxy malveillant basé sur Golang. Cela permet aux acteurs malveillants d'exploiter les connexions Internet des victimes pour contourner les restrictions géographiques et échapper aux mesures de sécurité financière qui détectent les accès non autorisés.

Les informations d'identification et les données volées lors des infections Lumma sont fréquemment partagées sur des forums clandestins comme Leaky[.]pro, un marché de piratage relativement nouveau qui a émergé fin décembre 2024.

Autres menaces utilisant la technique ClickFix

Lumma Stealer n'est pas le seul malware exploitant les techniques de phishing de ClickFix. Les chercheurs de Zscaler ThreatLabz et eSentire ont observé des tactiques similaires utilisées pour distribuer :

  • Voleur de vide
  • Voleur atomique de macOS (AMOS)
  • Logiciel malveillant sur le thème du chatbot DeepSeek AI

En outre, Juniper Threat Labs a détecté des attaques de phishing utilisant des méthodes d'obscurcissement Unicode pour échapper à la détection. Ces attaques masquent des valeurs binaires dans les caractères Hangul (U+FFA0 et U+3164), ce qui rend les charges utiles JavaScript malveillantes plus difficiles à détecter pour les outils de sécurité.

Comment se protéger contre Lumma Stealer et autres attaques similaires

Compte tenu de la sophistication et de l’ampleur de cette campagne, les organisations et les particuliers doivent prendre des mesures immédiates pour renforcer leurs défenses en matière de cybersécurité.

  • Évitez de cliquer sur des liens PDF suspects – Soyez prudent lorsque vous téléchargez des PDF à partir de résultats de recherche, de pièces jointes à des e-mails ou de sources inconnues.
  • Vérifiez les pages CAPTCHA – Les CAPTCHA légitimes ne nécessitent pas de téléchargement de fichiers ni d’exécution de scripts.
  • Surveillez Webflow et d’autres services d’hébergement – Les équipes de sécurité doivent suivre l’utilisation malveillante de leurs domaines et signaler tout contenu suspect.
  • Restreindre l’exécution de PowerShell et MSHTA – Implémentez des restrictions de stratégie de groupe pour empêcher les attaquants d’abuser des outils Windows pour exécuter du code malveillant.
  • Sensibilisez les employés aux techniques d’hameçonnage – Formez le personnel à reconnaître les faux CAPTCHA, l’hameçonnage basé sur le référencement et d’autres tactiques d’ingénierie sociale.
  • Déployez une protection avancée contre les menaces : utilisez des solutions de détection et de réponse aux points de terminaison (EDR) pour détecter les abus de PowerShell, le trafic Web suspect et les activités de logiciels malveillants de vol d’informations.

Réflexions finales

Cette campagne de phishing met en évidence la manière dont les cybercriminels font évoluer leurs techniques pour diffuser Lumma Stealer et d'autres logiciels malveillants. En utilisant de faux CAPTCHA dans les PDF, l'empoisonnement SEO et des méthodes avancées d'obscurcissement, les attaquants parviennent à contourner les mesures de sécurité traditionnelles.

Alors que des milliers d’utilisateurs sont déjà compromis et que les tactiques de distribution de logiciels malveillants se multiplient, les entreprises doivent rester vigilantes, former leurs employés et mettre en œuvre des mesures de sécurité solides pour se défendre contre ces menaces en constante évolution.

Par Zane
February 28, 2025
Computer Security
Français
February 28, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.