AWS perturbe une campagne de watering hole d’APT29 visant l’authentification Microsoft par code d’appareil

Selon AWS (aws.amazon.com), l’équipe Threat Intelligence d’Amazon a identifiĂ© et neutralisĂ© une campagne de watering hole menĂ©e par APT29/Midnight Blizzard (associĂ© au SVR russe). Des sites lĂ©gitimes compromis redirigeaient une fraction des visiteurs vers des domaines imitant des pages de vĂ©rification Cloudflare, afin de les amener Ă  valider des appareils contrĂŽlĂ©s par l’attaquant via le flux d’authentification Microsoft par code d’appareil. AWS prĂ©cise qu’aucun systĂšme AWS n’a Ă©tĂ© compromis et qu’aucun impact direct sur ses services n’a Ă©tĂ© observĂ©. ...

31 aoĂ»t 2025 Â· 3 min

Des publicités Google diffusent un faux éditeur PDF livrant le voleur TamperedChef

Selon BleepingComputer, des acteurs de menace utilisent plusieurs sites web promus par des publicitĂ©s Google pour piĂ©ger les internautes avec une application d’édition PDF convaincante qui sert de vecteur Ă  un malware voleur d’informations nommĂ© TamperedChef. Le stratagĂšme repose sur des publicitĂ©s Google menant Ă  plusieurs sites qui proposent un supposĂ© Ă©diteur PDF. L’application, prĂ©sentĂ©e de maniĂšre convaincante, sert en rĂ©alitĂ© Ă  livrer un logiciel malveillant. L’impact principal mentionnĂ© est le vol d’informations via le malware TamperedChef, classĂ© comme info-stealer, ce qui indique un risque d’exfiltration de donnĂ©es sensibles des victimes. ...

31 aoĂ»t 2025 Â· 1 min

F1: deepfakes, apps malveillantes et vols de télémétrie ciblent équipes, dirigeants et fans

Selon CloudSEK, Ă  l’approche du Grand Prix des Pays-Bas, des cybercriminels exploitent l’essor numĂ©rique de la Formula 1 pour cibler Ă©quipes, dirigeants et fans, provoquant des pertes financiĂšres documentĂ©es dĂ©passant ÂŁ1 million. Le rapport dĂ©taille des menaces avancĂ©es allant des deepfakes d’exĂ©cutifs Ă  la compromission de la chaĂźne d’approvisionnement cloud. Principales menaces et cibles đŸŽïž Impersonation via deepfakes (audio/vidĂ©o) de dirigeants d’écuries. Applications mobiles “fantĂŽmes” avec icĂŽne cachĂ©e installant des malwares persistants đŸ“±. Fraudes sur les packages hospitality et cryptomonnaies, visant les fans. Vol de donnĂ©es de tĂ©lĂ©mĂ©trie (300+ capteurs par voiture) et brouillage RF des communications. Harvesting de tokens d’API et compromissions de la supply chain ciblant l’infrastructure cloud. Vecteurs techniques et dĂ©tection 🔍 ...

31 aoĂ»t 2025 Â· 2 min

Inf0s3c Stealer : stealer Python exfiltrant via Discord, packagé avec UPX/PyInstaller

Selon Cyfirma, Inf0s3c Stealer est un malware de type information stealer Ă©crit en Python qui cible de larges pans des donnĂ©es utilisateur et systĂšmes, exfiltrĂ©es via Discord aprĂšs empaquetage en archives RAR protĂ©gĂ©es par mot de passe. L’échantillon montre une obfuscation avancĂ©e (UPX + PyInstaller) et des mĂ©canismes de persistance. Le billet recommande une protection proactive des endpoints et une surveillance rĂ©seau renforcĂ©e. Sur le plan technique, l’échantillon est un exĂ©cutable PE 64-bit (~6,8 Mo, entropie 8.000) packĂ© avec UPX 5.02 et PyInstaller, important des API Windows (opĂ©rations fichiers, Ă©numĂ©ration de processus, manipulation mĂ©moire). đŸ§Ș ...

31 aoĂ»t 2025 Â· 2 min

La Russie étend son empreinte cyber via des partenariats internationaux et des firmes sous sanctions

Source: Foreign Affairs (aoĂ»t 2025). Contexte: Un article d’Andrei Soldatov et Irina Borogan analyse la stratĂ©gie du Kremlin pour Ă©tendre l’influence cyber russe en s’appuyant sur des entreprises nationales et des accords internationaux, Ă  la suite d’une rĂ©union sur la « souverainetĂ© informationnelle » Ă  Saint-PĂ©tersbourg en avril 2024. 🔒 Le cƓur de la stratĂ©gie: le Kremlin promeut des cybertechnologies et la « souverainetĂ© informationnelle » via des firmes comme Positive Technologies, Kaspersky Lab, Cyberus Foundation, Angara Security, Kod Bezopasnosti, Security Vision et Solar. Lors de la rĂ©union d’avril 2024 prĂ©sidĂ©e par Nikolai Patrushev (avec Sergei Naryshkin, chef du SVR), des responsables de sĂ©curitĂ© d’Afrique, d’Asie, d’AmĂ©rique latine, du Moyen-Orient (dont BrĂ©sil, Soudan, ThaĂŻlande, Ouganda, ainsi que Chine, Iran et la Ligue arabe) ont Ă©tĂ© invitĂ©s Ă  adopter des solutions russes pour « contrĂŽler l’espace informationnel » national. ...

31 aoĂ»t 2025 Â· 3 min

Nouvelle variante ClickFix: faux Turnstile Cloudflare via Windows Explorer pour livrer MetaStealer

Selon Huntress (blog de recherche), des chercheurs ont documentĂ© une nouvelle variante des attaques ClickFix qui dĂ©tourne la vĂ©rification Cloudflare Turnstile afin d’amener les victimes Ă  tĂ©lĂ©charger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scĂ©nario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, oĂč une fausse vĂ©rification Cloudflare Turnstile est affichĂ©e. En cliquant sur la vĂ©rification, la victime est redirigĂ©e via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrĂŽlĂ© par l’attaquant. ...

31 aoĂ»t 2025 Â· 2 min

Typosquatting de ghrc.io: un faux registre imite ghcr.io pour voler des identifiants GitHub

Selon une analyse signĂ©e par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose Ă  un site configurĂ© pour dĂ©clencher un flux d’authentification de registre et potentiellement dĂ©rober des identifiants GitHub. 🚹 Le domaine ghrc.io affiche en surface une page par dĂ©faut nginx, mais rĂ©pond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tĂȘte WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tĂȘte pousse des clients comme Docker, containerd, podman et les CRI Kubernetes Ă  solliciter un jeton auprĂšs de « https://ghrc.io/token », ce qui n’a aucune raison lĂ©gitime sur un nginx par dĂ©faut et indique un objectif de vol d’identifiants. ...

31 aoĂ»t 2025 Â· 2 min

Un faux paquet npm imite Nodemailer et draine des portefeuilles crypto en modifiant Atomic/Exodus sous Windows

Source: Socket (Ă©quipe de recherche). Le billet dĂ©taille une campagne oĂč un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de dĂ©tourner des transactions vers des adresses contrĂŽlĂ©es par l’attaquant. 🚹 Le paquet nodejs-smtp se fait passer pour un mailer lĂ©gitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour dĂ©compresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injectĂ© remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à rĂ©installation depuis la source officielle. ...

31 aoĂ»t 2025 Â· 3 min

Vague record de phishing fin août: abus de Cloudflare/Azure, kits MFA et faux supports Microsoft

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin aoĂ»t, dĂ©crivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des dĂ©tections. ‱ Panorama des attaques 🎣 Plusieurs vagues ont ciblĂ© des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisĂ©s sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont Ă©tĂ© observĂ©s, avec des pages adaptĂ©es par gĂ©olocalisation IP et paramĂštres d’URL pour router les victimes vers des centres d’appels distincts. ...

31 aoĂ»t 2025 Â· 3 min

VShell : backdoor Linux fileless exploitant des noms de fichiers RAR, liée à des APT chinoises

Source: PolySwarm Hivemind — Analyse dĂ©taillĂ©e d’une campagne Linux oĂč le backdoor VShell est diffusĂ© par une chaĂźne d’infection inĂ©dite exploitant des noms de fichiers RAR malveillants, avec liens Ă  plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodĂ©e Base64 s’exĂ©cute lorsque des opĂ©rations shell courantes (ex. ls, find, eval) traitent ce nom, dĂ©clenchant l’infection sans interaction supplĂ©mentaire ni bit exĂ©cutable. L’attaque dĂ©bute par un email de spam dĂ©guisĂ© en sondage beautĂ© offrant une petite rĂ©compense 💌. ...

31 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝