Analyse De Menace

Selon Socket (blog Socket.dev), l’équipe de recherche a mis au jour une attaque de chaîne d’approvisionnement sophistiquée dans l’écosystème RubyGems, active depuis mars 2023, ayant publié 60 paquets malveillants totalisant plus de 275 000 téléchargements. Les gems malveillants se présentent comme des outils d’automatisation pour des plateformes de réseaux sociaux et marketing, mais volent des identifiants d’utilisateurs. L’opération cible en particulier des marketeurs « grey-hat » sud-coréens utilisant des comptes jetables, ce qui a permis à la campagne de rester discrète pendant plus d’un an. ...

Selon Moonlock, une campagne attribuée à des acteurs nord-coréens exploite des stealer malware visant macOS pour collecter des identités et contourner les vérifications d’antécédents, afin d’infiltrer des entreprises américaines comme « faux » travailleurs IT. Le dossier met en perspective ces activités avec de récents raids du FBI contre des « laptop farms », soulignant le lien entre cybercriminalité, espionnage et contournement des sanctions. La menace décrite repose sur l’ingénierie sociale comme vecteur principal (faux recrutements, arnaques de type ClickFix), plutôt que sur des exploits sophistiqués. Les identifiants et données personnelles volés sont réutilisés pour dépasser les contrôles RH et accéder à des postes sensibles, participant à des objectifs d’espionnage et de contournement des sanctions 🕵️‍♂️. ...

Selon Securelist (Kaspersky), des chercheurs ont identifié « Efimer », un voleur de cryptomonnaies de type ClipBanker, actif dans une campagne ayant touché plus de 5 000 utilisateurs dans le monde, avec une forte concentration au Brésil. Le malware se propage via des campagnes d’e-mails usurpant des menaces juridiques et via des sites WordPress compromis proposant des films piratés. Son objectif principal est le vol de cryptomonnaies en remplaçant, dans le presse-papiers, les adresses des portefeuilles et même des phrases mnémoniques. ...

Selon Cyble, les « top ransomware threat actors » ne sont pas seulement de retour : ils sont désormais plus importants, plus sophistiqués et bien plus coordonnés. Le message met l’accent sur une évolution notable du paysage des menaces ransomware, caractérisée par une montée en puissance (📈), une amélioration des capacités opérationnelles et techniques (🧠), ainsi qu’une coordination accrue entre acteurs (🤝), suggérant des campagnes plus efficaces et organisées. Type d’article et objectif principal : analyse de menace visant à alerter sur le renforcement et la coordination des principaux acteurs du ransomware. ...

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...

Source et contexte: SpyCloud publie une analyse basée sur 159 188 identifiants phishés, révélant que la plateforme de Phishing-as-a-Service Tycoon 2FA met en œuvre des techniques Adversary-in-the-Middle (AitM) pour contourner la MFA et compromettre des comptes Microsoft 365 et Gmail. 🎣 Fonctionnement: Tycoon 2FA héberge des copies convaincantes des pages de connexion Gmail et Microsoft 365, intercepte le flux d’authentification, capture identifiants et jetons MFA, relaie les requêtes vers les services légitimes et vole les cookies de session pour l’hijacking. Le kit intègre des fonctions anti-analyse comme des CAPTCHA et de l’obfuscation de code. ...

Picus Security a publié une analyse complète du groupe de ransomware Ryuk mettant en lumière leurs attaques ciblées contre des grandes organisations, notamment dans le secteur de la santé et les entités gouvernementales. L’analyse cartographie la chaîne d’attaque de Ryuk selon le cadre MITRE ATT&CK, couvrant des tactiques allant de l’accès initial par hameçonnage ciblé au mouvement latéral, l’escalade de privilèges, et l’impact final de chiffrement. Les principales découvertes incluent l’utilisation par Ryuk de techniques de chiffrement à double impact, la désactivation systématique des services de sauvegarde, et des méthodes d’évasion sophistiquées. La plateforme Picus Security Validation Platform est mise en avant pour sa capacité à simuler ces attaques afin de tester les défenses organisationnelles et identifier les failles de sécurité avant que les attaquants ne puissent les exploiter. ...

Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données. L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés. ...

L’article publié le 7 août 2025 par Seqrite met en lumière une nouvelle menace où des cybercriminels exploitent des fichiers SVG pour réaliser des attaques de phishing sophistiquées. Ces fichiers, contrairement aux images standard, peuvent contenir du JavaScript exécutable qui s’exécute automatiquement dans les navigateurs, redirigeant les victimes vers des sites de collecte de crédentiels. Ces attaques sont principalement diffusées par des emails de spear-phishing avec des pièces jointes convaincantes et des liens vers des stockages en cloud, échappant souvent à la détection en raison de la réputation de confiance des SVG. Les organisations sont encouragées à mettre en place une inspection approfondie du contenu, à désactiver le rendu automatique des SVG provenant de sources non fiables, et à renforcer la sensibilisation des utilisateurs pour se défendre contre ce vecteur de menace émergent. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...