Analyse de malware : l'importance du mindset face aux limites des outils CTI

📰 Source : secjuice.com — publiĂ© le 31 mai 2026. Article de fond destinĂ© aux analystes malware, junior comme senior, abordant la mĂ©thodologie et la philosophie de l’analyse de malware. 🎯 Contexte gĂ©nĂ©ral L’article pose la question centrale : l’analyse de malware se rĂ©sume-t-elle Ă  la maĂźtrise d’outils ? La rĂ©ponse dĂ©veloppĂ©e est non : le mindset de l’analyste est l’élĂ©ment diffĂ©renciateur, les outils n’étant que des facilitateurs. đŸ› ïž Outils mentionnĂ©s L’article cite une liste d’outils courants utilisĂ©s en analyse statique et dynamique : ...

1 juin 2026 Â· 3 min

CIFSwitch : LPE Linux via CIFS/cifs-utils, élévation de privilÚges locale multi-distros

🔍 Contexte PubliĂ© le 27 mai 2026 par Asim Viladi Oglu Manizada sur son blog personnel, cet article dĂ©taille la dĂ©couverte et l’exploitation d’une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges locale (LPE) baptisĂ©e CIFSwitch, affectant le noyau Linux et le paquet cifs-utils. La dĂ©couverte a Ă©tĂ© facilitĂ©e par l’utilisation d’agents LLM. 🐛 Description de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© repose sur une chaĂźne de bugs logiques Ă  l’intersection du module noyau CIFS et du helper userspace cifs.upcall fourni par cifs-utils : ...

1 juin 2026 Â· 3 min

MedusaLocker3 (FarAttack) : analyse technique du ransomware et de ses nombreuses variantes

📰 Source : BleepingComputer Forums — publiĂ© le 29 mai 2026 (derniĂšre Ă©dition le 26 mai 2026 par quietman7) Contexte Le forum de support BleepingComputer documente l’évolution du groupe MedusaLocker vers une nouvelle version de leur ransomware : MedusaLocker3, Ă©galement connu sous le nom FarAttack. Cette version est dĂ©veloppĂ©e en Rust, ce qui constitue un changement technique notable par rapport aux versions prĂ©cĂ©dentes. Comportement et dĂ©ploiement Les acteurs malveillants dĂ©ploient MedusaLocker3/FarAttack conjointement avec GlobeImposter 2.0 lors des mĂȘmes attaques. Les deux malwares utilisent les mĂȘmes extensions de fichiers chiffrĂ©s (.savelock**, .busavelock**, .itlock**), rendant leur distinction difficile. La seule mĂ©thode fiable pour diffĂ©rencier les fichiers chiffrĂ©s par l’un ou l’autre est l’analyse de la structure de pied de fichier (footer), documentĂ©e par le chercheur Demonslay335 (Michael Gillespie). L’accĂšs initial documentĂ© dans un cas inclus dans le fil est un compromis RDP suivi de l’utilisation de Mimikatz, de la dĂ©sinstallation de l’antivirus et de Windows Defender via Defender Control. Extensions de fichiers chiffrĂ©s (liste non exhaustive) MedusaLocker3 utilise un trĂšs grand nombre d’extensions numĂ©riques variables, parmi lesquelles : .farattack, .chipslock, .Chuklock, .filesencrypted, .onelock, .marlock**, .allock**, .itlock**, .olsavelock**, .savelock**, .busavelock**, .meduza**, .readtext**, .encrypted**, .hazard**, .cipher**, .locknet, .crypto**, .zombi**, .bulock**, .doctorhelp, .recovery**, .lock**, .rapid**, .genesis**, .duralock**, .locked**, .destroy**, .attackfiles, .repair, .virus**, .nett, .run**, .pomoch**, .pomochit**, .lockfile**, .attacknew**, .foxtrot**, .foxfort**, .solution247, .247_davidhasselhoff, .spider**, .root**, .infected, .destry**, .darkdev, .gonzofortuna, .wehavesolution**, .allciphered**, .luck_**, .bbuild, .hyena**, .lucky**, .M142HIMARS, .blackheart**, .crypt**, .danger**, .ETHAN, .jackalock, .pedro, .cyberhazard**, .CRFILE**, .rans**, .cryptdata, .datarip, .ololo, .PuId**, .ApRBwPQG, .delocker**, .dataleak**, .cybertron**, .jackpot**, .jacobmccole1967@onionmail_com, .taro, .solutionwehave**, .befirst**, .Stolen**, .246510179, .prey**, .trap**, .BAGAJAI, .BAFAIAI, .ripper**, .KARMA, .happy**, .Venere**, .end**, .chip**, .strike**, .raptum**, .zollo**, .bear**, .BASANAI, .net**, .dominus**, .BARADAI, .BAVACAI, .friends** ...

1 juin 2026 Â· 3 min

The Gentlemen : analyse d'un ransomware Go auto-propagant opéré par Storm-2697

🔍 Contexte PubliĂ© le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article prĂ©sente une analyse technique approfondie du ransomware The Gentlemen, opĂ©rĂ© par le groupe Storm-2697. 🎭 Acteur de la menace Storm-2697 est un acteur Ă  motivation financiĂšre qui gĂšre la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen » Le groupe a Ă©mergĂ© mi-2025 en tant que groupe fermĂ©, avant d’ouvrir son programme d’affiliation en septembre 2025 Un partenariat officiel avec BreachForums a Ă©tĂ© Ă©tabli pour recruter des affiliĂ©s, notamment des testeurs d’intrusion et des initial access brokers (IAB) ⚙ CaractĂ©ristiques techniques Ransomware Ă©crit en Go, obfusquĂ© avec Garble Cible l’environnement Windows Techniques documentĂ©es : exĂ©cution, Ă©vasion de dĂ©fense, chiffrement des fichiers, mouvement latĂ©ral et auto-propagation rĂ©seau Tactique de double extorsion : chiffrement des donnĂ©es ET exfiltration pour pression supplĂ©mentaire 🌍 Secteurs et zones gĂ©ographiques ciblĂ©s Secteurs : Ă©ducation, transport, santĂ©, finance Zones : AmĂ©rique du Nord, AmĂ©rique du Sud, Europe, Afrique, Asie 📄 Nature de l’article Il s’agit d’une analyse technique publiĂ©e par Microsoft, destinĂ©e aux dĂ©fenseurs, aux Ă©quipes de rĂ©ponse Ă  incident et Ă  la communautĂ© de sĂ©curitĂ©. L’article inclut le flux d’exĂ©cution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latĂ©ral, des dĂ©tections Microsoft Defender, des requĂȘtes de chasse et des indicateurs de compromission (IOCs). ...

1 juin 2026 Â· 2 min

B1ack's Stash publie 4,6 millions de cartes de paiement issues de web skimming

đŸ—“ïž Contexte Le 18 mai 2026, le marketplace criminel B1ack’s Stash a publiĂ© sur un forum underground un archive contenant 4 668 889 enregistrements de cartes de paiement compromises. L’analyse a Ă©tĂ© publiĂ©e le 28 mai 2026 par D3Lab (Andrea Draghetti). La publication avait un objectif explicitement promotionnel : attirer du trafic vers le marchĂ© illĂ©gal, renforcer sa rĂ©putation dans l’écosystĂšme du carding, et punir des vendeurs accusĂ©s de revendre les mĂȘmes cartes ailleurs. ...

31 mai 2026 Â· 3 min

CVE-2026-41615 : Divulgation d'informations dans Microsoft Authenticator, versions vulnérables identifiées

🔍 Contexte PubliĂ© le 20 mai 2026 par Nicola Suter sur son blog technique, cet article documente une rĂ©ponse de Microsoft Ă  la vulnĂ©rabilitĂ© CVE-2026-41615 (Microsoft Authenticator Information Disclosure Vulnerability), en exposant de nouveaux champs dans les journaux de connexion Entra ID. đŸ›Ąïž VulnĂ©rabilitĂ© concernĂ©e CVE-2026-41615 : VulnĂ©rabilitĂ© de divulgation d’informations affectant l’application Microsoft Authenticator Versions vulnĂ©rables : Android : versions antĂ©rieures Ă  6.2605.2973 iOS : versions antĂ©rieures Ă  6.8.47 Les versions mentionnĂ©es ci-dessus constituent les builds corrigĂ©s. 📊 Nouveau champ dans les SignInLogs En rĂ©ponse Ă  cette CVE, Microsoft a ajoutĂ© la colonne AuthenticationAppDeviceDetails dans les Entra ID Sign-In Logs, contenant les propriĂ©tĂ©s JSON suivantes : ...

31 mai 2026 Â· 2 min

Device Code Lab (DCL) : analyse approfondie d'un kit de phishing OAuth professionnel

🔍 Contexte PubliĂ© le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersĂ©curitĂ©, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), Ă©galement connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle dĂ©couverte lors d’activitĂ©s de threat hunting. L’infrastructure initiale a Ă©tĂ© identifiĂ©e sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement gĂ©nĂ©ral DCL est une plateforme centralisĂ©e de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle gĂ©nĂšre des codes de pĂ©riphĂ©rique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code Ă  la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dĂšs que la victime s’authentifie. ...

31 mai 2026 Â· 4 min

Screening Serpens : nouvelles familles de RAT et AppDomainManager hijacking ciblant 5 pays

🔍 Contexte PubliĂ© le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activitĂ©s rĂ©centes du groupe APT Ă  nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysĂ©es couvrent la pĂ©riode mi-fĂ©vrier Ă  avril 2026, en corrĂ©lation avec un conflit rĂ©gional dĂ©butĂ© le 28 fĂ©vrier 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entitĂ©s ciblĂ©es sont localisĂ©es dans : ...

31 mai 2026 Â· 6 min

Tycoon 2FA : analyse technique et détection du kit PhaaS AiTM sur Entra ID et Google Workspace

🔍 Contexte PubliĂ© le 26 mai 2026 par Elastic Security Labs (auteurs : Samir Bousseaden et Terrance DeJesus), cet article constitue une analyse technique dĂ©taillĂ©e du kit Phishing-as-a-Service (PhaaS) Tycoon 2FA, attribuĂ© Ă  Storm-1747 par Microsoft Threat Intelligence. MalgrĂ© un dĂ©mantĂšlement coordonnĂ© en mars 2026 impliquant Microsoft, Europol, Cloudflare, SpyCloud et eSentire (plus de 300 domaines saisis), le kit a repris ses activitĂ©s dĂšs fin avril 2026. ⚙ MĂ©canisme AiTM Tycoon 2FA opĂšre comme un proxy inverse en temps rĂ©el entre la victime et le fournisseur d’identitĂ© lĂ©gitime (Entra ID ou Google). Le flux d’attaque comprend : ...

31 mai 2026 Â· 5 min

Void Dokkaebi migre InvisibleFerret vers des binaires Cython pour contourner les détections

🔍 Contexte PubliĂ© le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisĂ© par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion alignĂ© avec la CorĂ©e du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systĂ©matiquement les dĂ©veloppeurs de logiciels dĂ©tenant des credentials de wallets cryptomonnaies, des clĂ©s de signature, et des accĂšs aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les dĂ©veloppeurs Ă  cloner et exĂ©cuter des dĂ©pĂŽts de code. ...

31 mai 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝