Analyse Technique

🔍 Contexte Publié le 9 avril 2026 par Oleg Kupreev sur Securelist (Kaspersky), cet article décrit une campagne active depuis début 2025 distribuant le malware ClipBanker via un faux installeur du logiciel Proxifier, hébergé sur GitHub et promu via les moteurs de recherche. 🎯 Vecteur d’infection initial Les victimes recherchent « Proxifier » sur des moteurs de recherche populaires. Un des premiers résultats pointe vers un dépôt GitHub malveillant contenant une archive avec un exécutable trojanisé et un fichier texte de clés d’activation. L’exécutable est un wrapper malveillant autour du vrai installeur Proxifier légitime. ...

🔍 Contexte L’article est publié le 9 avril 2026 sur le blog EXPMON (justhaifei1.blogspot.com). Il documente la détection et l’analyse d’un exploit PDF zero-day sophistiqué ciblant Adobe Reader, initialement soumis sur la plateforme EXPMON Public le 26 mars, et présent sur VirusTotal depuis le 23 mars avec un faible taux de détection (5/64). 🎯 Nature de l’attaque L’exploit repose sur une vulnérabilité zero-day non patchée dans Adobe Reader (confirmée sur la version 26.00121367, la plus récente au moment de l’analyse). Il ne nécessite aucune interaction utilisateur au-delà de l’ouverture du fichier PDF. ...

🔍 Contexte Cette analyse technique a été publiée le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observée depuis fin février 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 Chaîne d’infection La campagne se déroule en quatre étapes distinctes : Étape 1 – Accès initial : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans C:\ProgramData et y déposent des utilitaires Windows légitimes renommés (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement système. Étape 2 – Récupération de payloads : Les binaires renommés téléchargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud légitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier caché C:\ProgramData\EDS8738. Étape 3 – Élévation de privilèges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilèges élevés, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mécanismes de persistance survivant aux redémarrages. Étape 4 – Payload final : Des installeurs MSI non signés sont déployés (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accès distant persistant aux systèmes compromis. 🛠️ Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommés Hébergement cloud : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommés conservent leur champ OriginalFileName d’origine, exploitable comme signal de détection 📡 Infrastructure C2 Deux domaines de commande et contrôle ont été identifiés : neescil.top et velthora.top. ...

🔍 Contexte Publié le 2 avril 2026 par Cisco Talos, cet article détaille une campagne de collecte automatisée de credentials à grande échelle attribuée au cluster de menace UAT-10608. L’analyse repose sur des données collectées à des fins de recherche, incluant l’accès à une instance NEXUS Listener non authentifiée. 🎯 Vecteur d’accès initial UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js côté serveur. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

🔍 Contexte Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant déployé dans les attaques du ransomware Qilin. Il documente des détails techniques inédits de la chaîne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 Mécanisme d’infection Le fichier msimg32.dll est vraisemblablement chargé par DLL side-loading via une application légitime. Son exécution démarre dès le chargement via la fonction DllMain. La chaîne d’infection se déroule en 4 étapes : ...

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...

🔍 Contexte Publié le 30 avril 2026 par Austin Coontz (TrustedSec), cet article de recherche offensive présente trois chaînes d’attaque exploitant la permission WriteGPLink sur des Unités Organisationnelles (OU) Active Directory, combinée à l’ARP spoofing, pour détourner des chemins UNC référencés dans des GPO existants. ⚙️ Attaque 1 : WriteGPLink + MSI Deployment Spoofing La première chaîne suppose qu’un attaquant authentifié dispose de WriteGPLink sur une OU cible et d’un accès réseau de couche 2 (même segment broadcast). Les étapes sont : ...

🗓️ Contexte Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur série « Attack Spotlight ». L’article décrit une campagne de phishing par email détectée via Google Workspace, exploitant l’usurpation de la marque Zoom. 🎯 Déroulement de l’attaque L’attaque débute par un email d’invitation Zoom falsifié, dont le style suggère une génération par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom. ...

🔍 Contexte Publié sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article présente un proof-of-concept (PoC) en Rust implémentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙️ Mécanisme technique La technique repose sur l’exploitation des exceptions de page mémoire gardée (Page Guard) : La page mémoire contenant AmsiScanBuffer est transformée en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel à AmsiScanBuffer déclenche une violation de page gardée (exception 0x80000001) avant l’exécution de la première instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable résultat du caller (via déréférencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. Réarme le piège via une exception de single-step (0x80000004) pour le prochain appel. 🧩 Point critique d’implémentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le déréférencer — écrire directement dans le slot de pile corrompt la pile sans affecter la variable résultat du caller. ...