Analyse De Menace

Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse détaillée (04/03/2026) du réseau Doppelgänger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence. L’étude présente une architecture d’influence industrielle, centrée sur l’usurpation de marques médias à grande échelle et ancrée autour du hub narratif RRN (Reliable Recent News). Le réseau est conçu pour la résilience et la scalabilité, privilégie des TLD à faible coût/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuité opérationnelle malgré les saisies. ...

Selon Malwarebytes, une campagne d’ingénierie sociale imite une page « Google Account Security » pour pousser les victimes à installer un PWA et, pour celles qui obéissent à tous les prompts, un APK Android déguisé en mise à jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routé via Cloudflare. Le flux web en 4 étapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sélection et l’envoi de contacts via le Contact Picker API, puis l’accès à la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installé, le script de page lit le presse-papiers lors des événements de focus/visibilité, tente d’intercepter les SMS via WebOTP, dresse une empreinte détaillée du device et effectue un heartbeat toutes les 30 s. ...

Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. • Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...

Selon Qrator Research Lab (26 février 2026), un nouveau loader de botnet nommé Aeternum C2 exploite la blockchain Polygon pour héberger ses commandes de contrôle, contournant les méthodes classiques de démantèlement. Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalité est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hôtes infectés lisent via des endpoints RPC publics. L’opérateur pilote le tout via un panneau web : sélection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis écriture on-chain. Les commandes sont confirmées sur la chaîne et diffusées aux bots en 2 à 3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun lié à une adresse Polygon. ...

Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS. • L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés. ...

Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel. ...

Selon un billet de blog technique signé « Kirk » (28 février 2026), une campagne active détourne archive.org comme plateforme de distribution en dissimulant des injecteurs .NET dans des images JPEG 4K via stéganographie, afin de livrer en parallèle les RATs Remcos 7.1.0 Pro et AsyncRAT 1.0.7. — Contexte et technique de stéganographie 🧪 — Les images (3840x2160) contiennent un bloc base64 de DLL .NET placé après le marqueur EOF JPEG (FF D9) à l’offset 1 390 750, encadré par des marqueurs qui ont évolué de BaseStart/-BaseEnd (24 fév.) à IN-/==-in1 (25–28 fév.). Un dropper PowerShell télécharge l’image (WebClient.DownloadData), extrait le bloc par regex, puis charge l’assembly en mémoire ([Reflection.Assembly]::Load). Les DLL injectées se font passer pour Microsoft.Win32.TaskScheduler.dll et embarquent l’injecteur Mandark (RunPE), avec un durcissement croissant (ConfuserEx, ressources chiffrées, RSA-1024, obfuscation). ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon VMRay Cybersecurity Blog (TLP: Green), une nouvelle étude détaille les opérations post‑exploitation de l’APT Hydra Saiga (a.k.a. Yorotrooper/ShadowSilk/Silent Lynx), active depuis au moins 2021, avec ciblage d’infrastructures critiques et usage systématique de Telegram comme C2. L’étude met en avant une activité soutenue jusqu’à fin 2025, une victimologie étendue (gouvernements, énergie, eau, santé, juridique, industrie, éducation, aviation) et une empreinte géopolitique cohérente avec une attribution au Kazakhstan (rythme UTC+5 et pauses lors des fêtes nationales). Le groupe a compromis au moins 34 organisations dans 8 pays, avec plus de 200 cibles en reconnaissance. Un marqueur distinctif est l’usage du Telegram Bot API pour piloter des implants. ...

Source: : kaspersky.fr — article signé par Stan Kaminsky (27 fév. 2026). L’auteur analyse les menaces posées par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant à WhatsApp, Telegram, Signal, Discord et Slack, doté d’un accès étendu (fichiers, email, calendrier, navigateur, shell) et orchestré via une passerelle. Devenu viral dès janvier 2026, le projet a connu une vague de problèmes de sécurité (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et même le détournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications. ...