Analyse De Menace

Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain. Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

Selon Jamf Threat Labs, ChillyHell est un backdoor macOS modulaire sophistiqué, lié initialement à l’acteur UNC4487 ciblant des responsables ukrainiens, et ayant réussi à passer la notarisation Apple (toujours valide depuis 2021). L’analyse met en lumière des capacités avancées de persistance, de communication C2 (DNS/HTTP), de brute force de mots de passe et d’évasion via timestomping, soulevant des questions sur la confiance accordée à la signature/notarisation de code. Points clés techniques: ...

Selon Seqrite, une vulnérabilité critique CVE-2025-31324 affecte SAP NetWeaver Development Server et est activement exploitée depuis mars 2025, avec une intensification après la publication d’un exploit public en août 2025. 🚨 Impact et portée: La faille permet une exécution de code à distance (RCE) par des attaquants non authentifiés, conduisant à une compromission complète des environnements SAP. Les risques incluent vol de données, mouvement latéral et perturbation des opérations. Plus de 1 200 serveurs exposés ont été identifiés, avec des intrusions confirmées dans plusieurs secteurs. ...

Selon Cofense, des chercheurs observent une tendance où des acteurs de menace combinent phishing d’identifiants et livraison de malwares au sein des mêmes campagnes, remettant en cause l’idée que ces méthodes seraient exclusives. L’objectif est de garantir la compromission (vol d’identifiants ou accès initial via malware) même si la cible est mieux protégée contre l’un des deux vecteurs. 🧪 D’un point de vue technique, quatre modes de livraison sont documentés : ...

Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants. L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes. ...

L’enquête détaille comment ALVIVA HOLDING, un fournisseur d’hébergement réputé auprès des cybercriminels, est lié à une société-écran basée aux Seychelles et associée à des activités criminelles mondiales telles que la cybercriminalité, le blanchiment d’argent et le trafic de stupéfiants. Les infrastructures d’ALVIVA sont connues pour servir au ransomware, DDoS, infostealer et principalement au « bulletproof hosting », soit l’hébergement conçu pour échapper aux autorités. Le rapport s’appuie sur une analyse technique des nouveaux domaines Email utilisés par le groupe Clop ransomware (ex. support@pubstorm.com et pubstorm.net), dont les IPs (185.55.242.97 en Allemagne et 147.45.112.231 au Vanuatu) sont toutes rattachées à ALVIVA HOLDING. La société fournit aussi l’infrastructure pour les échanges P2P et torrents utilisée par Clop, soulignant une dépendance stratégique aux services d’ALVIVA. ...

Selon Black Hills Information Security, des fonctionnalités Windows légitimes — Microsoft Store (msstore) et WinGet (App Installer) — peuvent être exploitées en entreprise pour installer, sans privilèges élevés, des applications à double usage permettant de contourner des contrôles de sécurité. L’étude met en évidence des risques liés à l’installation non autorisée d’outils de prise de contrôle à distance, de clients bases de données, d’utilitaires système et de logiciels de tunneling, facilitant le mouvement latéral et l’exfiltration de données. Des paquets msstore et l’utilitaire WinGet permettent ces installations malgré l’absence de droits administrateur. ...

Contexte — L’extrait cite le Threat Debrief de Bitdefender et dresse un état des lieux 2025 où SafePay, auparavant discret, devient un acteur marquant du paysage ransomware. • Chiffres clés: plus de 270 victimes revendiquées depuis le début de l’année. En juin, SafePay arrive en tête du classement de Bitdefender avec 73 organisations revendiquées en un mois. En juillet, le groupe annonce 42 nouvelles victimes, son deuxième meilleur total mensuel. ...

Selon SCYTHE (référence: scythe.io), le groupe anglophone Scattered Spider est passé d’arnaques de SIM swapping menées par des adolescents à des opérations de ransomware sophistiquées visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hôtellerie et la finance. Leurs attaques s’appuient sur une ingénierie sociale avancée pour manipuler les équipes de support IT et sur l’abus d’outils administratifs légitimes. L’analyse souligne le besoin de protocoles stricts côté help desk, de formations et d’une surveillance accrue des comptes à privilèges et des outils de gestion à distance. ...

Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...