Analyse De Menace

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Selon GetSafety (billet référencé), des chercheurs en sécurité décrivent une campagne baptisée « Solana-Scan » qui abuse de l’écosystème NPM pour diffuser un infostealer ciblant l’écosystème Solana, avec un accent sur des développeurs crypto russes. • Nature de l’attaque : campagne d’empoisonnement de la chaîne d’approvisionnement NPM utilisant du JavaScript fortement obfusqué et des techniques avancées d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement générés par IA. ...

Selon KrebsOnSecurity, des groupes cybercriminels ont délaissé le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquées, afin de mener des opérations de manipulation boursière « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaîne d’attaque démarre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite à acheter massivement des actions ciblées (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

Selon Pixm Security, la première moitié d’août a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variées et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et à d’autres procédés destinés à pousser les victimes à appeler des centres d’appels ciblés ☎️. Au-delà du support scam, d’autres attaques de phishing Microsoft ont utilisé un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’événements et des fichiers PDF 📄. ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...