Analyse Technique

🔍 Contexte Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA. 🎯 Vecteur d’infection L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants : IAStorHelp.exe — binaire Intel légitime et signé IAStorHelp.exe.config — fichier de configuration CLR weaponisé IAStorHelpMosquitoproof.dll — DLL .NET malveillante setting.yml — payload chiffré AES Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique. ...

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

🔍 Contexte Publié le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusé sur le forum XSS (suspecté d’avoir des liens avec des acteurs étatiques russes). Il s’appuie sur une technique initialement attribuée à APT29 en décembre 2025, puis améliorée par le chercheur John Hammond (v2), et désormais reprise par des cybercriminels. ⚙️ Technique ConsentFix ConsentFix fusionne l’ingénierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulée pour copier-coller (ou glisser-déposer) une URL Microsoft légitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisé par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues. ...

🔍 Contexte Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser. 🧩 Chaîne d’infection L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution : Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué 🔐 Protocole C2 et cryptographie Le beacon utilise un schéma cryptographique hybride : ...

🔍 Contexte Article publié le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privée et sécurité, documente une découverte forensique réalisée sur son MacBook lors d’un audit de son environnement navigateur. 🛠️ Comportement technique documenté L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dépose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les répertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

🔍 Contexte Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows. 🎯 Ciblage géographique Les campagnes ciblent des entreprises situées en : Grèce Espagne Slovénie Bosnie-Herzégovine Amérique latine et centrale Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes. ...

🔍 Contexte Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD. 🏗️ Architecture et modèle commercial FudCrypt propose trois niveaux d’abonnement : Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique Pro (1 500$/mois) : 5 builds/jour, carriers supplémentaires, anti-VM Enterprise (2 000$/mois) : builds illimités, bypass UAC, désactivation Defender, anti-debug, anti-VM La base de données récupérée révèle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD. ...

🔍 Contexte Publié le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiqué plus de 320 victimes, dont 240 en 2026. 🎯 Le programme RaaS The Gentlemen The Gentlemen opère un modèle RaaS classique avec recrutement d’affiliés via des forums underground. Le groupe fournit : Des lockers multi-OS (Windows, Linux, NAS, BSD) écrits en Go Un locker ESXi écrit en C Des outils de kill EDR et une infrastructure de pivot multi-chaîne Un site onion de fuite de données Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes Négociations via Tox ID ou Session ID (P2P chiffré) 🔗 Chaîne d’attaque observée (DFIR) L’attaquant est détecté initialement avec des privilèges Domain Admin sur un contrôleur de domaine. La séquence documentée est : ...

🔍 Contexte Publié le 20 avril 2026 par Sergey Puzan sur Securelist (Kaspersky), cet article présente les résultats d’une investigation menée en mars 2026 sur une campagne de vol de cryptomonnaies baptisée FakeWallet, active depuis au moins l’automne 2025. 🎯 Nature de la menace Les attaquants ont publié 26 applications de phishing dans l’App Store Apple, se faisant passer pour des portefeuilles crypto majeurs (MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie). Ces applications exploitent les restrictions régionales chinoises sur les apps crypto pour attirer les victimes, en utilisant des icônes imitant les originaux et des noms avec des fautes de frappe intentionnelles (typosquatting). ...

🔍 Contexte Publié le 14 avril 2026 par Proofpoint Threat Research, cet article présente les résultats d’une surveillance étendue (plus d’un mois) d’un acteur malveillant spécialisé dans le vol de fret et la fraude au transport, opérée dans un environnement leurre géré par Deception.pro à partir de fin février 2026. 🎯 Accès initial Le 27 février 2026, après avoir compromis une plateforme de load board, l’acteur a livré un payload malveillant par email à des transporteurs. Le payload consistait en un fichier VBS qui : ...