Publication De Recherche

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...

Le site met en lumière les risques de sécurité associés à l’utilisation de HTTP/1.1, un protocole de communication web largement utilisé. HTTP/1.1 est décrit comme intrinsèquement peu sûr, exposant potentiellement des millions de sites web à des risques de prise de contrôle hostile. Cette vulnérabilité est due à des failles dans la conception du protocole qui ne répondent pas aux normes de sécurité modernes. L’article appelle à une mobilisation collective pour abandonner HTTP/1.1 au profit de versions plus sécurisées comme HTTP/2 ou HTTP/3, qui offrent des améliorations significatives en matière de sécurité et de performance. ...

L’article publié sur BleepingComputer le 6 août 2025, révèle une nouvelle technique d’évasion post-exploitation nommée ‘Ghost Calls’. Cette méthode exploite les serveurs TURN utilisés par des applications de conférence telles que Zoom et Microsoft Teams. Ces serveurs, normalement utilisés pour faciliter les connexions réseau dans des environnements NAT, sont détournés pour faire transiter du trafic malveillant à travers une infrastructure de confiance. L’utilisation de ces serveurs permet aux attaquants de tunneler leur trafic de commande et de contrôle (C2) de manière discrète, rendant plus difficile la détection par les systèmes de sécurité traditionnels. ...

L’article publié par PortSwigger met en lumière des recherches menées par James Kettle sur des attaques de désynchronisation HTTP qui révèlent des failles fondamentales dans l’implémentation du protocole HTTP/1.1. Résumé exécutif : Les nouvelles classes d’attaques, telles que les attaques 0.CL et les exploits basés sur l’en-tête Expect, contournent les mitigations existantes et affectent des fournisseurs d’infrastructure majeurs comme Akamai, Cloudflare et Netlify. Un outil open-source est mis à disposition pour détecter systématiquement les divergences de parseur, ayant déjà permis de récolter plus de 200 000 $ en primes de bug bounty. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...

L’équipe de recherche de Wiz a découvert une chaîne de vulnérabilités critiques dans le serveur NVIDIA Triton Inference, une plateforme open-source populaire pour l’exécution de modèles d’IA à grande échelle. Ces vulnérabilités, lorsqu’elles sont exploitées ensemble, permettent à un attaquant distant non authentifié de prendre le contrôle total du serveur, réalisant ainsi une exécution de code à distance (RCE). L’attaque commence par une fuite d’informations mineure dans le backend Python du serveur, qui s’escalade astucieusement en une compromission complète du système. ...

Le Cyber Fusion Center de Kudelski Security a signalé une exploitation active d’une vulnérabilité zero-day dans les appareils SonicWall Gen 7 SSL-VPN par des affiliés du ransomware Akira. Cette vulnérabilité permet de contourner l’authentification et la MFA sur des appareils entièrement patchés, offrant ainsi un accès direct au réseau. Des intrusions confirmées ont eu lieu en Amérique du Nord et en Europe, entraînant le vol de données d’identification, la désactivation d’outils de sécurité, et le déploiement de ransomware. ...

L’article publié le 6 août 2025 par Embrace the Red met en lumière une vulnérabilité critique dans le logiciel Devin AI de Cognition, démontrée par un chercheur en sécurité. Cette vulnérabilité, non corrigée depuis plus de 120 jours, permet une injection de prompt indirecte qui peut mener à une compromission totale du système. L’attaque repose sur l’insertion d’instructions malveillantes dans des contenus externes comme des sites web ou des issues GitHub. Ces instructions incitent Devin à visiter des sites contrôlés par des attaquants, où il télécharge et exécute des binaires malveillants. ...

L’actualité provient de Cisco Talos et concerne la découverte de cinq vulnérabilités critiques dans le firmware Dell ControlVault3, affectant plus de 100 modèles de portables Dell. Ces vulnérabilités, surnommées ‘ReVault’, permettent aux attaquants d’obtenir un accès persistant qui survit à une réinstallation de Windows et de réaliser une escalade de privilèges d’un utilisateur local au niveau admin/système. Elles peuvent être exploitées à la fois via des scénarios post-compromission et des attaques nécessitant un accès physique, ce qui les rend particulièrement dangereuses dans les environnements professionnels et gouvernementaux où les ordinateurs portables Dell sont couramment utilisés. ...

L’article publié par GBHackers Security révèle une campagne de malware sophistiquée qui cible les systèmes Windows en utilisant des fichiers de raccourci LNK malveillants. Cette attaque a été découverte suite à la détection de deux adresses IP de scan, 91.238.181[.]225 et 5.188.86[.]169, partageant une empreinte SSH commune. Les chercheurs en cybersécurité ont identifié que cette campagne utilise les fichiers LNK pour déployer le REMCOS backdoor, un cheval de Troie d’accès à distance capable de compromettre entièrement un système. Le REMCOS est connu pour ses capacités à exécuter des commandes à distance, enregistrer les frappes au clavier et voler des informations sensibles. ...