Microsoft démantèle le malware Lumma Stealer avec des partenaires internationaux
Microsoft a mené une vaste opération contre Lumma Stealer, un logiciel malveillant très utilisé par les cybercriminels pour voler des données sensibles à l’échelle mondiale. Cette action coordonnée a permis de désactiver l’infrastructure du malware.
La Digital Crimes Unit (DCU) de Microsoft a obtenu une décision de justice permettant de saisir plus de 2’300 domaines liés au malware Lumma Stealer. Utilisé pour dérober des identifiants, des informations bancaires et des portefeuilles de cryptomonnaies, Lumma est un outil de cybercriminalité vendu comme service (Malware-as-a-Service) sur les forums clandestins. Microsoft a identifié près de 400’000 machines Windows infectées entre mi-mars et mi-mai 2025.
L'opération s’est appuyée sur la collaboration entre Microsoft, Europol, le département de la Justice américain, le Centre japonais de lutte contre la cybercriminalité (JC3) et plusieurs entreprises de cybersécurité. Europol a notamment contribué à la suspension de 300 domaines. Les sites saisis ont été redirigés vers des sinkholes gérés par Microsoft, afin d’isoler le malware et de recueillir des données techniques pour améliorer la sécurité.
Lumma était diffusé via des campagnes de phishing ciblées, du malvertising et des faux sites se faisant passer pour des marques connues. En mars 2025, Microsoft Threat Intelligence avait détecté une campagne se faisant passer pour Booking.com et diffusant Lumma à des fins de vol financier. Les secteurs de la santé, des télécommunications, de la logistique, de la finance et de la fabrication ont été parmi les plus visés.
Le malware, développé par un individu utilisant le pseudonyme «Shamel», était vendu en différentes formules via Telegram. Dans une interview remontant à novembre 2023, ce dernier affirmait disposer d’environ 400 clients actifs. Son offre inclut des variantes personnalisées du logiciel, avec outils d’évasion et tableaux de bord de suivi des données volées.
Microsoft affirme que cette opération affaiblira durablement la capacité des cybercriminels à relancer des campagnes similaires. La société souligne l’importance d’une collaboration soutenue entre acteurs publics et privés pour perturber les outils clés du cybercrime. Les entreprises ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry ont également participé au démantèlement technique de l’infrastructure.
