ÉcosystĂšme de distribution de malwares via TDS, usurpation d'identitĂ© et dĂ©tournement de clics

🔍 Contexte PubliĂ© le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article prĂ©sente une analyse technique approfondie d’un Ă©cosystĂšme de distribution de malwares Ă  grande Ă©chelle, actif depuis au moins dĂ©cembre 2025 et documentĂ© avec des livraisons malveillantes confirmĂ©es dĂšs janvier 2026. 🎭 MĂ©canisme d’usurpation et de dĂ©tournement de clics L’opĂ©ration repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnĂ©s dans les rĂ©sultats Google. Ces sites chargent un script JavaScript hĂ©bergĂ© sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS). ...

7 juin 2026 Â· 8 min

Gamaredon 2026 : analyse complĂšte de la chaĂźne d'infection GammaPhish et GammaWorm

🔍 Contexte PubliĂ© le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une sĂ©rie de trois rapports sur la chaĂźne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur Ă©tatique russe officiellement rattachĂ© au FSB. L’investigation a dĂ©butĂ© en dĂ©cembre 2025 via une rĂšgle YARA opportuniste, complĂ©tĂ©e par plus de 70 artefacts fournis par un partenaire de confiance. ...

7 juin 2026 Â· 5 min

Analyse technique : chaßne d'infection malspam vers loader .NET fileless en 5 étapes

🔍 Contexte PubliĂ© le 3 juin 2026 par Huntress (mis Ă  jour le 5 juin 2026), cet article est une analyse technique dĂ©taillĂ©e d’une infection observĂ©e en mai 2026 par le SOC Huntress. L’attribution initiale Ă  DesckVB RAT a Ă©tĂ© corrigĂ©e : le malware est dĂ©sormais identifiĂ© comme un loader .NET non identifiĂ©. 📧 Vecteur initial : malspam via DoubleClick L’accĂšs initial s’effectue via un email malveillant contenant une piĂšce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette piĂšce jointe effectue une redirection meta-refresh immĂ©diate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute rĂ©putation de ce domaine pour contourner les passerelles email. ...

6 juin 2026 Â· 5 min

Campagne de phishing PUMA Careers : usurpation de marque et collecte de credentials via faux portail RH

đŸ—“ïž Source : CyberProof Research Team (blog CyberProof), publiĂ© le 2 juin 2026. Auteur : Yevgeni Pak. Contexte L’équipe de threat hunting de CyberProof a identifiĂ© une campagne de phishing multi-Ă©tapes usurpant l’identitĂ© de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingĂ©nierie sociale assistĂ©e par IA. La dĂ©tection initiale a Ă©tĂ© dĂ©clenchĂ©e par une anomalie comportementale : l’email de phishing s’adressait Ă  la victime avec son identitĂ© LinkedIn publique, alors que le compte email utilisait un format de nom diffĂ©rent. ...

6 juin 2026 Â· 3 min

Campagne STX RAT : supply chain via DLL sideloading ciblant crypto et X-VPN (100M users)

🔍 Contexte PubliĂ© le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite Ă  un premier rapport sur CPUID HWMonitor et Ă©tend la portĂ©e Ă  11 packages trojanisĂ©s au total. 🎯 Description de la campagne Un acteur opĂ©rant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dĂ©pĂŽt Bitbucket (amos-trading/dist-internal) hĂ©bergeant des installateurs lĂ©gitimes repackagĂ©s avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant. ...

6 juin 2026 Â· 4 min

Payload malveillant dissimulé dans une image JPEG via WeTransfer et Cloudflare

🔍 Contexte PubliĂ© le 5 juin 2026 par Xavier Mertens sur l’Internet Storm Center (ISC/SANS), cet article documente la rĂ©apparition d’une technique de dissimulation de payload dans des images JPEG de type fond d’écran MSI, dĂ©jĂ  observĂ©e quelques mois auparavant. 📧 Vecteur initial L’attaque dĂ©bute par un e-mail contenant un lien WeTransfer lĂ©gitime pointant vers un fichier JavaScript nommĂ© “Remittance Advice.js” (SHA256 : 8a83de81fbac4eb0961f3d58982f299664a5fa4c874c7469e69f85f3fc5bd33f). Le fichier dĂ©passe 2 Mo et contient une grande quantitĂ© de code inutile (boucles for vides) pour noyer le code malveillant. ...

5 juin 2026 Â· 3 min

Un acteur malveillant utilise l'IA (Claude Opus) pour développer et tester des techniques d'évasion EDR

🔍 Contexte PubliĂ© le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article dĂ©crit la dĂ©couverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accĂ©lĂ©rer le dĂ©veloppement de malwares et tester des techniques d’évasion EDR. L’activitĂ© a Ă©tĂ© dĂ©tectĂ©e via l’enregistrement d’un endpoint anormal dans un tenant client, dĂ©clenchant des alertes sur des payloads issus du rĂ©pertoire C:\Users\User\Documents\test. đŸ§© Infrastructure et outils dĂ©couverts Plusieurs fichiers malveillants ont Ă©tĂ© identifiĂ©s dans ce rĂ©pertoire, rĂ©vĂ©lant un framework d’attaque complet : ...

5 juin 2026 Â· 4 min

WeedHack : campagne MaaS ciblant Minecraft via SEO poisoning et YouTube

🔍 Contexte PubliĂ© le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article prĂ©sente une analyse technique dĂ©taillĂ©e de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystĂšme Minecraft, actif depuis janvier 2026. 🎯 Description de la campagne WeedHack se dĂ©guise en clients et mods Minecraft lĂ©gitimes pour infecter ses victimes. La campagne a gĂ©nĂ©rĂ© plus de 116 464 hits au total, avec une moyenne de 2 000 Ă  3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont Ă©tĂ© identifiĂ©s. ...

4 juin 2026 Â· 9 min

Campagne Mini Shai-Hulud : 95 packages npm Red Hat Cloud Services compromis pour vol de secrets CI/CD

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publiĂ© une analyse technique dĂ©taillĂ©e d’une campagne de compromission de la chaĂźne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classĂ© comme une publication de recherche avec analyse technique approfondie. 🩠 Nature de l’attaque La campagne, qualifiĂ©e de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilitĂ© publique des outils. Au total, 95 versions de packages ont Ă©tĂ© publiĂ©es le 1er juin 2026 entre 10h54 et 14h25 UTC, dĂ©tectĂ©es par Socket entre 11h00 et 15h21 UTC. ...

2 juin 2026 Â· 4 min

RedSun (CVE-2026-41091) : ÉlĂ©vation de privilĂšges via le workflow de remĂ©diation de Windows Defender

📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rĂ©digĂ©e par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun. 🔍 Contexte gĂ©nĂ©ral RedSun est un exploit d’élĂ©vation de privilĂšges locale (LPE) affectant Windows Defender sur tout systĂšme Windows avec la protection en temps rĂ©el activĂ©e. Il est rĂ©fĂ©rencĂ© sous CVE-2026-41091 et a Ă©tĂ© dĂ©couvert par le chercheur Nightmare Eclipse. ⚙ Cause racine de la vulnĂ©rabilitĂ© Lorsque Windows Defender (MsMpEng.exe, s’exĂ©cutant en NT AUTHORITY\SYSTEM) dĂ©tecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier Ă  son emplacement d’origine. Ce comportement, combinĂ© Ă  la possibilitĂ© pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette Ă©criture privilĂ©giĂ©e vers C:\Windows\System32. ...

2 juin 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝