Analyse Technique

L’article analyse le ransomware Secp0, apparu début 2025, qui a initialement été mal compris comme un groupe d’extorsion de divulgation de vulnérabilités, mais qui fonctionne en réalité comme un ransomware traditionnel à double extorsion, chiffrant les données tout en menaçant de les divulguer publiquement. Secp0 a été identifié pour la première fois en février 2025 et a revendiqué sa première victime en mars 2025, une entreprise IT américaine, en compromettant des données et en chiffrant des serveurs. En mai 2025, Secp0 a retardé ses publications, citant une file d’attente de sociétés et testant une solution logicielle, probablement la plateforme d’extorsion World Leaks. ...

L’article de Mandiant et Google Threat Intelligence Group met en lumière une campagne d’exploitation en cours par un acteur malveillant, désigné UNC6148, visant les appareils SonicWall Secure Mobile Access (SMA) 100 en fin de vie. UNC6148 utilise des identifiants et des seeds OTP volés lors d’intrusions précédentes pour accéder aux appareils, même après l’application de mises à jour de sécurité. Le malware OVERSTEP, un rootkit en mode utilisateur, est déployé pour modifier le processus de démarrage des appareils, voler des informations sensibles et se dissimuler. ...

SecurityWeek rapporte que Nippon Steel Solutions a révélé une fuite de données résultant de l’exploitation d’une vulnérabilité zero-day dans un équipement réseau. L’incident a été détecté le 7 mars suite à une activité suspecte sur certains serveurs de l’entreprise. L’enquête a montré que des hackers ont exploité cette faille pour accéder à des informations concernant des clients, des partenaires et des employés. Pour les clients, les données potentiellement compromises incluent le nom, le nom de l’entreprise, l’adresse, le titre professionnel, l’affiliation, l’adresse email professionnelle et le numéro de téléphone. ...

L’article, publié par Phil Stokes & Dinesh Devadoss, met en lumière la résurgence du malware ZuRu qui cible les utilisateurs de macOS en trojanisant des applications populaires utilisées par les développeurs et professionnels de l’IT. Historique et évolution : Initialement découvert en juillet 2021, ZuRu a été distribué via des résultats de recherche empoisonnés sur Baidu, redirigeant les utilisateurs vers des versions trojanisées d’applications comme iTerm2. En 2024, des chercheurs ont identifié l’utilisation du framework open-source Khepri C2 pour les opérations post-infection. ...

McHire est la plateforme de recrutement automatisée utilisée par plus de 90 % des franchises McDonald’s. Propulsée par un chatbot nommé Olivia, développé par la société Paradox.ai, elle collecte les données personnelles des candidats, leurs disponibilités et les fait passer par un test de personnalité. En enquêtant sur les dysfonctionnements rapportés sur Reddit, les chercheurs Ian Carroll et Sam Curry ont identifié deux failles majeures : l’interface d’administration acceptait les identifiants par défaut 123456:123456, et une API interne vulnérable à une faille IDOR permettait d’accéder aux données de tous les candidats. ...

L’article de John Tuckner, publié le 9 juillet 2025, révèle comment la bibliothèque Mellowtel transforme les extensions de navigateur en un réseau de scraping web distribué, compromettant la sécurité des utilisateurs. Mellowtel est une bibliothèque de monétisation qui permet aux développeurs d’extensions de navigateur de gagner de l’argent en utilisant la bande passante inutilisée des utilisateurs. Cependant, cette pratique soulève des préoccupations de cybersécurité, car elle transforme les appareils des utilisateurs en une armée de bots à leur insu. ...

Bleeping Computer rapporte une nouvelle technique de tapjacking qui exploite les animations de l’interface utilisateur d’Android pour contourner le système de permissions et accéder à des données sensibles ou inciter les utilisateurs à effectuer des actions destructrices, telles que l’effacement de l’appareil. Cette vulnérabilité repose sur l’exploitation des animations qui masquent les demandes de permission, trompant ainsi l’utilisateur en lui faisant croire qu’il interagit avec une autre application ou fonctionnalité. Cela peut conduire à des actions non désirées sans que l’utilisateur en soit conscient. ...

Dans un rapport publié par eSentire, leur Threat Response Unit (TRU) a découvert en juin 2025 une version backdoor du client SonicWall NetExtender, désignée sous le nom de SilentRoute par Microsoft. Cette version malveillante est presque identique au logiciel légitime, mais avec des modifications subtiles permettant l’exfiltration de données sensibles. Le processus d’infection commence lorsque l’utilisateur télécharge le client NetExtender depuis un site frauduleux imitant la page officielle de SonicWall. Le fichier téléchargé, un installateur MSI signé nommé “SonicWall-NetExtender.msi”, utilise un certificat numérique frauduleux émis par GlobalSign, permettant de contourner la protection SmartScreen de Microsoft. ...

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

L’article de BleepingComputer rapporte une attaque par ransomware contre Ingram Micro, un géant de la distribution technologique B2B. Depuis jeudi, les systèmes internes de l’entreprise sont en panne. L’attaque a été identifiée comme provenant de l’opération SafePay, un acteur actif en 2025. Les employés ont découvert des notes de rançon sur leurs appareils, bien que l’on ne sache pas si les données ont été effectivement chiffrées. Ingram Micro, qui fournit des services variés, dont des solutions matérielles et logicielles, n’a pas initialement divulgué la cause des problèmes, mais a depuis confirmé l’attaque. ...