Analyse Technique

L’article de John Tuckner, publié le 9 juillet 2025, révèle comment la bibliothèque Mellowtel transforme les extensions de navigateur en un réseau de scraping web distribué, compromettant la sécurité des utilisateurs. Mellowtel est une bibliothèque de monétisation qui permet aux développeurs d’extensions de navigateur de gagner de l’argent en utilisant la bande passante inutilisée des utilisateurs. Cependant, cette pratique soulève des préoccupations de cybersécurité, car elle transforme les appareils des utilisateurs en une armée de bots à leur insu. ...

Bleeping Computer rapporte une nouvelle technique de tapjacking qui exploite les animations de l’interface utilisateur d’Android pour contourner le système de permissions et accéder à des données sensibles ou inciter les utilisateurs à effectuer des actions destructrices, telles que l’effacement de l’appareil. Cette vulnérabilité repose sur l’exploitation des animations qui masquent les demandes de permission, trompant ainsi l’utilisateur en lui faisant croire qu’il interagit avec une autre application ou fonctionnalité. Cela peut conduire à des actions non désirées sans que l’utilisateur en soit conscient. ...

Dans un rapport publié par eSentire, leur Threat Response Unit (TRU) a découvert en juin 2025 une version backdoor du client SonicWall NetExtender, désignée sous le nom de SilentRoute par Microsoft. Cette version malveillante est presque identique au logiciel légitime, mais avec des modifications subtiles permettant l’exfiltration de données sensibles. Le processus d’infection commence lorsque l’utilisateur télécharge le client NetExtender depuis un site frauduleux imitant la page officielle de SonicWall. Le fichier téléchargé, un installateur MSI signé nommé “SonicWall-NetExtender.msi”, utilise un certificat numérique frauduleux émis par GlobalSign, permettant de contourner la protection SmartScreen de Microsoft. ...

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

L’article de BleepingComputer rapporte une attaque par ransomware contre Ingram Micro, un géant de la distribution technologique B2B. Depuis jeudi, les systèmes internes de l’entreprise sont en panne. L’attaque a été identifiée comme provenant de l’opération SafePay, un acteur actif en 2025. Les employés ont découvert des notes de rançon sur leurs appareils, bien que l’on ne sache pas si les données ont été effectivement chiffrées. Ingram Micro, qui fournit des services variés, dont des solutions matérielles et logicielles, n’a pas initialement divulgué la cause des problèmes, mais a depuis confirmé l’attaque. ...

L’article publié par watchTowr Labs met en lumière une nouvelle vulnérabilité critique affectant les dispositifs Citrix NetScaler, identifiée comme CitrixBleed 2 (CVE-2025-5777). Cette vulnérabilité permet une fuite de mémoire due à une validation insuffisante des entrées, particulièrement lorsque le NetScaler est configuré comme Gateway ou AAA virtual server. La vulnérabilité est similaire à une précédente faille, CitrixBleed (CVE-2023-4966), qui avait permis la divulgation de mémoire et le détournement de sessions d’accès à distance. Malgré l’exploitation active de cette nouvelle faille, de nombreux utilisateurs n’ont pas encore appliqué les correctifs nécessaires. ...

L’article publié par The DFIR Report décrit une attaque sophistiquée exploitant un serveur RDP exposé pour obtenir un accès initial par une attaque de password spraying. Cette méthode a ciblé de nombreux comptes sur une période de quatre heures. Les attaquants ont utilisé des outils comme Mimikatz et Nirsoft pour récolter des identifiants, accédant notamment à la mémoire LSASS. Pour la phase de découverte, ils ont employé des binaries living-off-the-land ainsi que des outils comme Advanced IP Scanner et NetScan. ...

L’article publié par BleepingComputer met en lumière une nouvelle menace dans le domaine de la cybersécurité impliquant ConnectWise ScreenConnect. Des acteurs malveillants ont trouvé un moyen d’abuser de l’installateur de ConnectWise ScreenConnect pour créer des malwares d’accès à distance signés. Ces malwares sont générés en modifiant des paramètres cachés au sein de la signature Authenticode du client. Cette méthode permet aux attaquants de contourner certaines mesures de sécurité qui se fient aux signatures numériques pour vérifier l’authenticité des logiciels. En exploitant ces failles, les malwares peuvent être installés sans éveiller les soupçons des systèmes de sécurité traditionnels. ...

GreyNoise a rapporté une augmentation notable des activités de scan ciblant les systèmes MOVEit Transfer depuis le 27 mai 2025. Avant cette date, l’activité de scan était minimale, avec généralement moins de 10 IPs observés par jour. Au cours des 90 derniers jours, 682 IPs uniques ont été identifiés par le tag MOVEit Transfer Scanner de GreyNoise. Parmi ces IPs, 303 (44%) proviennent de Tencent Cloud (ASN 132203), ce qui en fait l’infrastructure la plus active. D’autres fournisseurs sources incluent Cloudflare (113 IPs), Amazon (94), et Google (34). ...

L’article de la société Proton met en lumière une fuite de données concernant les politiciens suisses, avec environ 16% de leurs emails officiels retrouvés sur le dark web. Cette situation expose ces politiciens à des risques accrus de phishing et de chantage. L’enquête a révélé que les adresses emails de 44 politiciens suisses étaient disponibles à la vente sur le dark web. Cette découverte a été rendue possible grâce à l’assistance de Constella Intelligence. Bien que ces adresses soient publiques, leur présence dans des violations de données indique que certains politiciens ont utilisé leurs emails officiels pour s’inscrire à des services comme Dropbox, LinkedIn, et Adobe, et même à des plateformes pour adultes et de rencontres. ...