Analyse De Menace

Source et contexte: Huntress (blog, 9 décembre 2025) analyse un incident triagé le 5 décembre 2025 impliquant l’infostealer macOS AMOS livré via des résultats Google menant à de vraies conversations partagées sur ChatGPT et Grok, empoisonnées pour insérer une commande Terminal malveillante. • Chaîne d’infection: un utilisateur cherche « clear disk space on macOS », clique un résultat de conversation ChatGPT/Grok légitime et copie/colle une commande Terminal présentée comme « sûre ». Cette commande contient une URL encodée en base64 vers un script bash qui déclenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun téléchargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

Selon le Conseil fédéral (Suisse), dans un rapport publié à Berne le 12 décembre 2025 en réponse au postulat 23.3861 (Andrey), l’IA a des effets ambivalents sur la cybersécurité: elle amplifie des menaces existantes, surtout l’ingénierie sociale, tout en apportant des opportunités notables pour la prévention, la détection et la réponse. Principales menaces mises en avant: Ingénierie sociale à grande échelle et de meilleure qualité (phishing, vishing, smishing, arnaque au président) aidée par les LLM multilingues; deepfakes (face swapping, facial reenactment) pour des fraudes financières. Usage de l’IA pour la découverte de vulnérabilités, l’amélioration/obfuscation de maliciels, la sélection de cibles et l’analyse de données volées; possibilité de contourner des garde-fous des modèles. Attaques visant les systèmes d’IA: backdoors dans des modèles, data poisoning, difficulté de monitoring et dépendance fournisseurs. Pas de preuve de cyberattaques entièrement autonomes à court terme, mais l’IA abaisse les barrières d’entrée et accélère les opérations. Opportunités et défenses: ...

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

Source : Push Security. Dans cette analyse, l’éditeur décrit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app première partie Microsoft Azure CLI pour détourner des consentements et obtenir des jetons d’accès. L’attaque est entièrement « browser-native » : la victime visite un site compromis trouvé via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft légitime. Après sélection/connexion, le navigateur est redirigé vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet à l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. Résultat : prise de contrôle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des méthodes résistantes au phishing (ex. passkeys) lorsque la session est déjà ouverte. ...

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...

Selon l’actualité (09.12.2025) du NCSC Suisse, des cybercriminels exploitent les mécanismes des processus de recrutement pour tromper des candidats grâce à des annonces très crédibles. Les attaquants publient des fausses offres d’emploi depuis des profils falsifiés, suffisamment authentiques pour ne pas éveiller la méfiance. L’espoir d’une carrière prometteuse conduit certaines victimes à abaisser leur vigilance, ce qui permet aux escrocs de manipuler le public cible et de passer à l’attaque. 🎭 ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Dans un billet technique signé Miguel, l’auteur documente une chaîne d’attaque où des résultats sponsorisés Google renvoient vers des chats LLM partagés (ChatGPT, DeepSeek) contenant des commandes terminal obfusquées visant macOS. L’attaque débute par du malvertising: des requêtes courantes (ex. « how to clear storage on mac ») mènent à des chats LLM semblant légitimes mais qui livrent des commandes base64. Celles-ci récupèrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), téléchargent un binaire (/tmp/update depuis nonnida.com) et l’exécutent avec sudo après suppression de l’attribut de quarantaine. ...

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu après la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inédit bien plus avancé que les charges observées initialement (miners, vols d’identifiants). 🚨 Points saillants: EtherRAT est une porte dérobée persistante en quatre étapes (shell dropper → déploiement → déchiffreur → implant) qui exploite React2Shell pour exécuter du code à distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant télécharge un runtime Node.js légitime (v20.10.0) depuis nodejs.org, charge un payload chiffré (AES‑256‑CBC), et établit un C2 via un smart contract Ethereum (résolution par consensus multi‑RPC) avec polling toutes les 500 ms et exécution de code JavaScript arbitraire. ...

Selon Information Security Media Group (ISMG), dans une interview vidéo avec Andrew La Marca (Dun & Bradstreet), la fraude aux entités synthétiques est passée d’une menace de niche à un risque majeur, portée par des outils d’IA et des contrôles étatiques faibles sur l’enregistrement des entreprises. La Marca explique que des fraudeurs peuvent créer des entreprises factices pour moins de 150 $, avec des payouts potentiels > 100 000 $ par identité falsifiée. Le phénomène s’accélère et se généralise, impactant l’écosystème financier et les acteurs du crédit. ...