Campagne malveillante via WhatsApp : scripts VBS et backdoors MSI en plusieurs étapes

🔍 Contexte Cette analyse technique a Ă©tĂ© publiĂ©e le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observĂ©e depuis fin fĂ©vrier 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 ChaĂźne d’infection La campagne se dĂ©roule en quatre Ă©tapes distinctes : Étape 1 – AccĂšs initial : Des fichiers VBS sont envoyĂ©s via WhatsApp. Une fois exĂ©cutĂ©s, ils crĂ©ent des dossiers cachĂ©s dans C:\ProgramData et y dĂ©posent des utilitaires Windows lĂ©gitimes renommĂ©s (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement systĂšme. Étape 2 – RĂ©cupĂ©ration de payloads : Les binaires renommĂ©s tĂ©lĂ©chargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud lĂ©gitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier cachĂ© C:\ProgramData\EDS8738. Étape 3 – ÉlĂ©vation de privilĂšges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilĂšges Ă©levĂ©s, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mĂ©canismes de persistance survivant aux redĂ©marrages. Étape 4 – Payload final : Des installeurs MSI non signĂ©s sont dĂ©ployĂ©s (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accĂšs distant persistant aux systĂšmes compromis. đŸ› ïž Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommĂ©s HĂ©bergement cloud : payloads hĂ©bergĂ©s sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommĂ©s conservent leur champ OriginalFileName d’origine, exploitable comme signal de dĂ©tection 📡 Infrastructure C2 Deux domaines de commande et contrĂŽle ont Ă©tĂ© identifiĂ©s : neescil.top et velthora.top. ...

7 avril 2026 Â· 4 min

UAT-10608 : Campagne automatisée de vol de credentials ciblant les apps Next.js via CVE-2025-55182

🔍 Contexte PubliĂ© le 2 avril 2026 par Cisco Talos, cet article dĂ©taille une campagne de collecte automatisĂ©e de credentials Ă  grande Ă©chelle attribuĂ©e au cluster de menace UAT-10608. L’analyse repose sur des donnĂ©es collectĂ©es Ă  des fins de recherche, incluant l’accĂšs Ă  une instance NEXUS Listener non authentifiĂ©e. 🎯 Vecteur d’accĂšs initial UAT-10608 exploite CVE-2025-55182, aussi appelĂ©e React2Shell, une vulnĂ©rabilitĂ© de Remote Code Execution (RCE) prĂ©-authentification affectant les React Server Components (RSC) et les frameworks qui en dĂ©pendent, notamment Next.js. La faille rĂ©side dans la dĂ©sĂ©rialisation de payloads HTTP sans validation adĂ©quate sur les endpoints Server Function, permettant une exĂ©cution de code arbitraire dans le processus Node.js cĂŽtĂ© serveur. ...

7 avril 2026 Â· 4 min

Akira Ransomware : compromission complĂšte en moins d'une heure via CVE-2024-40766

🔍 Contexte Cette analyse technique est publiĂ©e par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procĂ©dures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opĂ©ration Ransomware-as-a-Service (RaaS) Ă  motivation financiĂšre. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti dĂ©funt A accumulĂ© environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en AmĂ©rique du Nord, Europe et Australie ModĂšle de double extorsion : exfiltration de donnĂ©es avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ RapiditĂ© d’exĂ©cution Akira est capable de mener l’intĂ©gralitĂ© du cycle d’attaque — de l’accĂšs initial au chiffrement — en moins d’une heure, et dans la majoritĂ© des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

5 avril 2026 Â· 4 min

Analyse technique de la chaĂźne d'infection EDR killer de Qilin ransomware via msimg32.dll

🔍 Contexte PubliĂ© le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant dĂ©ployĂ© dans les attaques du ransomware Qilin. Il documente des dĂ©tails techniques inĂ©dits de la chaĂźne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 MĂ©canisme d’infection Le fichier msimg32.dll est vraisemblablement chargĂ© par DLL side-loading via une application lĂ©gitime. Son exĂ©cution dĂ©marre dĂšs le chargement via la fonction DllMain. La chaĂźne d’infection se dĂ©roule en 4 Ă©tapes : ...

5 avril 2026 Â· 4 min

Campagne ClickFix : XWorm V5.6 livré via PhantomVAI en 5 étapes sur site médical turc compromis

🔍 Contexte PubliĂ© le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article prĂ©sente une dĂ©couverte CTI issue d’une mĂ©thodologie de chasse technique basĂ©e sur l’analyse des corps de rĂ©ponses HTTP Ă  l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrĂ©e et infrastructure compromise Le point d’entrĂ©e est le site d’une entreprise turque de matĂ©riel mĂ©dical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulĂ©e “AntiFraud Authenticator”. Cette page ClickFix invite la victime Ă  cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodĂ©e dans le presse-papiers via navigator.clipboard.writeText(). ...

5 avril 2026 Â· 5 min

Détournement de chemins UNC dans les GPO via ARP spoofing pour exécution de code et relay NTLM

🔍 Contexte PubliĂ© le 30 avril 2026 par Austin Coontz (TrustedSec), cet article de recherche offensive prĂ©sente trois chaĂźnes d’attaque exploitant la permission WriteGPLink sur des UnitĂ©s Organisationnelles (OU) Active Directory, combinĂ©e Ă  l’ARP spoofing, pour dĂ©tourner des chemins UNC rĂ©fĂ©rencĂ©s dans des GPO existants. ⚙ Attaque 1 : WriteGPLink + MSI Deployment Spoofing La premiĂšre chaĂźne suppose qu’un attaquant authentifiĂ© dispose de WriteGPLink sur une OU cible et d’un accĂšs rĂ©seau de couche 2 (mĂȘme segment broadcast). Les Ă©tapes sont : ...

5 avril 2026 Â· 3 min

Faux installateur Zoom déploie ScreenConnect via une simulation JavaScript convaincante

đŸ—“ïž Contexte Article publiĂ© le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur sĂ©rie « Attack Spotlight ». L’article dĂ©crit une campagne de phishing par email dĂ©tectĂ©e via Google Workspace, exploitant l’usurpation de la marque Zoom. 🎯 DĂ©roulement de l’attaque L’attaque dĂ©bute par un email d’invitation Zoom falsifiĂ©, dont le style suggĂšre une gĂ©nĂ©ration par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom. ...

5 avril 2026 Â· 3 min

PoC Rust : contournement AMSI sans patch via Page Guard sur AmsiScanBuffer

🔍 Contexte PubliĂ© sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article prĂ©sente un proof-of-concept (PoC) en Rust implĂ©mentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙ MĂ©canisme technique La technique repose sur l’exploitation des exceptions de page mĂ©moire gardĂ©e (Page Guard) : La page mĂ©moire contenant AmsiScanBuffer est transformĂ©e en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel Ă  AmsiScanBuffer dĂ©clenche une violation de page gardĂ©e (exception 0x80000001) avant l’exĂ©cution de la premiĂšre instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable rĂ©sultat du caller (via dĂ©rĂ©fĂ©rencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. RĂ©arme le piĂšge via une exception de single-step (0x80000004) pour le prochain appel. đŸ§© Point critique d’implĂ©mentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le dĂ©rĂ©fĂ©rencer — Ă©crire directement dans le slot de pile corrompt la pile sans affecter la variable rĂ©sultat du caller. ...

5 avril 2026 Â· 2 min

Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accÚs matériel exploitables en BYOVD

🔍 Contexte Article de recherche publiĂ© le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur prĂ©sente une analyse technique complĂšte du pilote noyau gdrv3.sys livrĂ© avec Gigabyte APP Center, dans le cadre d’une Ă©tude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signĂ© par Microsoft, dĂ©posĂ© dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra rĂ©vĂšle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...

5 avril 2026 Â· 3 min

Webshells PHP contrÎlés par cookies : persistance furtive dans les environnements Linux

🔍 Contexte PubliĂ© le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observĂ©e dans des environnements d’hĂ©bergement Linux partagĂ©s. L’équipe documente l’abus de webshells PHP contrĂŽlĂ©s par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalitĂ©s malveillantes via des paramĂštres d’URL ou le corps des requĂȘtes, ces webshells restent dormants jusqu’à la rĂ©ception de valeurs de cookies spĂ©cifiques fournies par l’attaquant. Le mĂ©canisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrĂšte sans modification frĂ©quente des fichiers sur disque. ...

5 avril 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝