Publication De Recherche

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...

Source: Binarly Research – Dans une étude à grande échelle, Binarly publie une analyse des mitigations de sécurité dans l’écosystème du firmware UEFI, couvrant 5 477 images de firmware et 2,2 millions de modules. Principaux constats chiffrés: Seulement 0,12% des modules implémentent des stack canaries et 94% sont dépourvus de Stack Guard. 88% des firmwares embarquent un microcode obsolète (et 71% sont jugés vulnérables à cause de microcodes dépassés dans l’analyse technique). 68% des modules DXE ne respectent pas les exigences d’alignement pour la protection NX/DEP, laissant des sections de code inscriptibles/exploitables. 6,3% des firmwares utilisent des clés Boot Guard divulguées. Seuls 9,38% appliquent correctement les politiques de protection mémoire DXE; 13% manquent la mitigation RSB stuffing. Détails techniques notables: ...

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposées Les chercheurs de Wiz Research ont découvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant à la fois le VSCode Marketplace et Open VSX, une plateforme utilisée par des forks alimentés par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont été trouvés dans 500 extensions publiées par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accès capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes. ...

Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect. La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA. ...

Pixnapping — nouvelle attaque Android volant les pixels à la souris (Ars Technica, 13 oct. 2025) Une équipe académique a présenté Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres données visibles à l’écran en moins de 30 secondes, même si l’application malveillante n’a aucune permission système. L’attaque a été démontrée sur plusieurs téléphones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel lié au rendu graphique : en exécutant des opérations graphiques sur des coordonnées précises et en mesurant les temps de rendu, l’appli malveillante peut déduire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA). ...

Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signés par Microsoft et utilisés sur des appareils Framework peuvent être détournés comme des backdoors signées, permettant de contourner Secure Boot et d’installer une persistance pré-OS tout en donnant l’illusion que la sécurité est active. Les chercheurs expliquent que le cœur du problème réside dans la commande mm des shells UEFI signés, qui offre un accès direct en lecture/écriture à la mémoire système. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vérification de signature, puis charger des modules UEFI non signés. L’attaque peut être automatisée pour s’exécuter au démarrage, assurant un compromis persistant avant l’OS. ...

Selon Quarkslab (référence citée), des chercheurs ont détaillé deux vulnérabilités critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et présenté une chaîne d’exploitation complète menant à l’élévation de privilèges; NVIDIA a publié des correctifs dans la mise à jour d’octobre 2025 des GPU Display Drivers. ⚠️ — Vulnérabilités et impact — CVE-2025-23300: déréférencement de pointeur nul dans le module nvidia-uvm, déclenché lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dû à un champ pGpu non vérifié. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de données Red-Black tree). Le kernel oops consécutif libère la pile avant l’exécution de threadStateFree(), entraînant l’UAF. Impact: obtention de primitives de lecture/écriture noyau et élévation de privilèges par un attaquant local non privilégié. — Chaîne d’exploitation (aperçu technique) — ...

Selon McAfee Labs, une nouvelle campagne du trojan bancaire Astaroth abuse de GitHub pour héberger et mettre à jour sa configuration via des images contenant des données stéganographiées, permettant à l’opération de perdurer même si l’infrastructure C2 est perturbée. Les dépôts malveillants ont été signalés et retirés en collaboration avec GitHub. • Synthèse 🕵️‍♂️: l’infection commence par un e-mail de phishing menant au téléchargement d’un ZIP contenant un fichier LNK. À l’exécution, un enchaînement JavaScript → AutoIt → shellcode charge un DLL (Delphi) qui injecte la charge finale (Astaroth) dans un nouveau processus RegSvc.exe. Le malware détecte l’accès à des sites bancaires/crypto et enregistre les frappes pour voler les identifiants. L’exfiltration s’effectue via le reverse proxy Ngrok. Pour la résilience, la configuration est récupérée périodiquement depuis GitHub, dissimulée dans des images (stéganographie). La campagne cible majoritairement le Brésil. ...

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

Source: watchTowr Labs — Publication de recherche détaillant CVE-2025-3600, une vulnérabilité d’unsafe reflection dans Progress Telerik UI for ASP.NET AJAX, et ses vecteurs d’exploitation potentiels dans des environnements .NET variés. • Vulnérabilité et portée. La faille CVE-2025-3600 affecte les versions de Telerik UI for ASP.NET AJAX de 2011.2.712 à 2025.1.218. Elle permet l’instanciation arbitraire de types .NET via une seule requête HTTP, exposant des applications d’entreprise, des plateformes SaaS et des solutions custom. Les auteurs estiment ~185 000+ instances potentiellement vulnérables identifiées lors d’une reconnaissance initiale. ...