Analyse Technique

🗓️ Contexte Publié le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la vulnérabilité zero-day CVE-2026-33825 dans Microsoft Windows Defender, divulguée publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publié un correctif lors du Patch Tuesday d’avril 2026. 🔍 Vulnérabilité CVE-2026-33825 Score CVSS : 7.8 (High) Type : Local Privilege Escalation (LPE) Cause : Race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remédiation de fichiers de Windows Defender Impact : Exécution de code au niveau SYSTEM depuis un compte non privilégié, sans interaction utilisateur Produits affectés : Windows 10 (toutes versions supportées), Windows 11 (toutes versions supportées), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise à jour d’avril 2026) ⚙️ Détails techniques — Exploit BlueHammer L’exploit BlueHammer abuse de la logique de remédiation de fichiers de Defender : ...

🔍 Contexte Publié le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport présente l’analyse technique complète d’une chaîne d’infection en 5 étapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer. 📦 Vecteur d’infection La campagne débute par la distribution d’archives ZIP hébergées sur l’infrastructure GitHub user-attachments. L’archive analysée (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire légitime signé Microsoft, Launcher_x64.exe, abusé pour du DLL sideloading via une DLL malveillante nommée msys-crypto-3.dll. ...

🗓️ Contexte Source : The Cyber Express, publié le 14 avril 2026. L’article couvre la divulgation et l’exploitation active d’une vulnérabilité critique de type Remote Code Execution (RCE) affectant le plugin WordPress Kali Forms (constructeur de formulaires drag-and-drop), installé sur plus de 10 000 sites actifs. 🔍 Nature de la vulnérabilité La faille réside dans le flux form_process et la fonction prepare_post_data(), qui accepte des données contrôlées par l’attaquant sans validation ni liste blanche. Ces données sont injectées dans des placeholders internes ({entryCounter}, {thisPermalink}), puis transmises à la méthode _save_data() où elles sont exécutées via call_user_func(). ...

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection. ...

🔍 Contexte Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware. 🦠 Chaîne d’infection L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant : ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...

🔍 Contexte Darktrace a publié le 16 avril 2026 une analyse technique détaillée d’un échantillon de malware se désignant lui-même comme ZionSiphon. L’analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l’échantillon est disponible publiquement. 🎯 Ciblage et motivations Le malware présente un ciblage géographique explicitement orienté vers Israël, avec des plages IPv4 hardcodées correspondant à des blocs d’adresses israéliens : 2.52.0.0 - 2.55.255.255 79.176.0.0 - 79.191.255.255 212.150.0.0 - 212.150.255.255 Deux chaînes encodées en Base64 révèlent des motivations idéologiques pro-Iran/Palestine/Yémen et une intention déclarée d’empoisonner les populations de Tel Aviv et Haïfa. L’auteur se désigne sous le pseudonyme “0xICS”. ...

🔍 Contexte Publié le 10 avril 2026 par Jamf Threat Labs (auteur : Nir Avraham / GotR00tAcce55), cet article constitue le troisième volet d’une série de recherches sur le spyware commercial Predator (attribué à Intellexa). Il fait suite aux publications de janvier et février 2026 sur les techniques anti-analyse et le contournement des indicateurs d’enregistrement iOS. 🎯 Périmètre de l’exploitation La chaîne d’exploitation analysée cible iOS antérieur à la version 17 et les appareils jusqu’à la génération A16, couvrant 21 modèles d’iPhone (iPhone XS à iPhone 14 Pro Max, 2018–2022), organisés en 5 classes de dispositifs. ...

🔍 Contexte Publié le 13 avril 2026 sur le blog Calif (https://blog.calif.io), cet article documente une recherche offensive menée en partenariat avec OpenAI, visant à évaluer la capacité de l’IA Codex à réaliser une escalade de privilèges complète sur un équipement embarqué réel : une Samsung Smart TV fonctionnant sous le firmware KantS2 (Samsung Tizen). 🎯 Objectif et environnement Les chercheurs ont fourni à Codex un point d’ancrage initial (code execution dans le contexte du navigateur de la TV) et un environnement de travail structuré : ...

🔍 Contexte Publié le 15 avril 2026 par Huntress, cet article de recherche détaille une opération malveillante découverte le 22 mars 2025, impliquant des logiciels potentiellement indésirables (PUP) signés par Dragon Boss Solutions LLC, une entité enregistrée à Sharjah, Émirats Arabes Unis, se présentant comme spécialisée en « search monetization research ». 🎯 Mécanisme d’attaque Les exécutables signés (ex : RaceCarTwo.exe, ChromsteraUpdater.exe) utilisent Advanced Installer, un mécanisme de mise à jour légitime, pour récupérer et exécuter silencieusement des payloads MSI et PowerShell depuis des serveurs distants. Les fichiers de configuration .ini révèlent des flags critiques : ...