Analyse De Menace

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

Source: AWS Security Blog (13 nov. 2025). Des chercheurs d’Amazon Inspector ont découvert plus de 150 000 paquets npm liés à une campagne coordonnée de « token farming » associée à tea.xyz, dépassant largement les 15 000 paquets initialement signalés par Sonatype en avril 2024. L’équipe a utilisé une détection hybride (règles + IA) pour mettre en évidence un schéma d’attaque auto-réplicant visant des gains financiers. 🚨 Nature et impact: Contrairement aux malwares classiques, ces paquets ne contiennent pas de code explicitement malveillant mais exploitent le mécanisme de récompense de tea.xyz en gonflant artificiellement les métriques via réplication et chaînes de dépendances. Les risques clés sont: pollution des registres (npm saturé de paquets non fonctionnels), exploitation des ressources (infrastructure/bande passante/stockage), effet de précédent (incitation à copier le modèle), et risques supply chain (dépendances inutiles et comportements inattendus). ...

Selon NewsGuard’s Reality Check (17 nov. 2025), des propagandistes pro-Kremlin exploitent l’outil texte‑vers‑vidéo Sora 2 d’OpenAI pour fabriquer des vidéos virales montrant de prétendues redditions de soldats ukrainiens, afin de saper le moral des forces ukrainiennes en pleine guerre Russie‑Ukraine. NewsGuard rappelle qu’un test récent a montré que Sora 2 avançait des contre‑vérités sur des sujets d’actualité dans 80 % des cas lorsqu’il y était incité. 🎥 En novembre 2025, NewsGuard a identifié sept vidéos générées par IA présentées comme des images du front à Pokrovsk, une ville clé de l’Est que des experts estiment proche de tomber. Ces vidéos, cumulant des millions de vues sur X, TikTok, Facebook et Telegram, montrent des scènes de redditions massives et des soldats ukrainiens implorant le pardon de la Russie. ...

Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants. ...

Cet article est un rapport technique spécialisé publié par Trend Micro Research, intitulé “Breaking Down S3 Ransomware: Variants, Attack Paths and Trend Vision One™ Defenses”. Il s’agit d’une analyse détaillée des différentes variantes de ransomwares exploitant Amazon S3, de leurs techniques d’attaque, ainsi que des capacités de détection fournies par Trend Vision One. Dans les infrastructures traditionnelles, les attaquants s’appuyaient surtout sur des intrusions réseau, le phishing, des pièces jointes malveillantes et l’exploitation de logiciels obsolètes ou vulnérables. ...

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes. • Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty. ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...