La campagne a un impact à l’échelle mondiale : les experts de Netskope ont identifié des victimes en Argentine, en Colombie, aux Etats-Unis, et aux Philippines, entre autres. En outre, de nombreux secteurs sont touchés comme ceux de la santé, de la banque et du marketing. Par ailleurs, le secteur des télécommunications est celui qui compte le plus grand nombre d’organisations ciblées.

Les équipes du Threat Labs de Netskope ont relevé plusieurs éléments :

• Les attaquants diffusaient Lumma par le biais de plusieurs méthodes, notamment des logiciels piratés, le CDN Discord et de fausses pages CAPTCHA. Les charges utiles et les techniques impliquées dans la chaîne d’infection varient également, les cybercriminels employant des techniques telles que l’évidement de processus et les one-liners PowerShell.
• Netskope a identifié de nouvelles charges utiles, de nouveaux sites web diffusant de la publicité malveillante et l’utilisation de snippets open source pour contourner les contrôles de sécurité.
• La chaîne d’infection intègre une étape au cours de laquelle l’acteur malveillant demande à la victime d’exécuter une commande à partir de son presse-papiers à l’aide de la commande Exécuter de Windows, ce qui la rend difficile à identifier par les technologies de cyber-protection pour les navigateurs.
• L’une des charges utiles contient un extrait d’un outil open-source permettant de contourner l’interface AMSI (Antimalware Scan Interface) de Windows, une étape conçue pour échapper aux outils de cybersécurité.