Publication De Recherche

L’article publié par le Trellix Advanced Research Center révèle la découverte d’un nouveau malware infostealer appelé Myth Stealer, écrit en Rust. Ce malware a été identifié lors d’une chasse proactive aux menaces et est resté indétecté jusqu’à sa découverte. Myth Stealer est distribué via des sites de jeux frauduleux et est conçu pour voler des données sensibles des navigateurs basés sur Gecko et Chromium, notamment les mots de passe, cookies et informations de remplissage automatique. Le malware utilise des techniques d’obfuscation et des vérifications système pour éviter l’analyse, et il est régulièrement mis à jour pour échapper aux solutions antivirus. ...

L’article publié par le Threat Research Center de Palo Alto Networks explore une campagne de compromission de sites web légitimes à l’aide de code JavaScript obfusqué, surnommé JSFireTruck. Cette campagne utilise une technique d’obfuscation JavaScript appelée JSF*ck, renommée JSFireTruck pour éviter la vulgarité. Les attaquants injectent ce code dans des sites web pour rediriger les utilisateurs vers des pages malveillantes, exploitant des moteurs de recherche comme vecteurs de redirection. Plus de 269 000 pages ont été infectées entre mars et avril 2025, révélant l’ampleur de l’attaque. ...

L’article publié par Socket met en lumière les risques croissants associés aux extensions de navigateur malveillantes. Ces extensions, souvent disponibles dans des magasins de confiance comme les Add-ons de Mozilla, sont utilisées pour hijacker des sessions utilisateur, rediriger le trafic et manipuler le comportement des utilisateurs. L’analyse de Socket révèle que certaines extensions exploitent les permissions standard des navigateurs pour faciliter des escroqueries, rediriger le trafic, et gonfler artificiellement les métriques d’engagement. Par exemple, l’extension Shell Shockers io utilise des popups trompeurs pour rediriger les utilisateurs vers des pages d’escroquerie de support technique. ...

L’article de Praetorian met en lumière une nouvelle technique de phishing exploitant le flux de code d’appareil OAuth2 de GitHub pour accéder aux comptes des utilisateurs et potentiellement compromettre la chaîne d’approvisionnement des organisations. GitHub Device Code Phishing est une évolution des attaques similaires menées contre les environnements Microsoft. Les attaquants génèrent un code d’appareil via l’API OAuth de GitHub, puis utilisent des techniques de social engineering pour inciter les utilisateurs à autoriser l’accès, leur permettant ainsi de récupérer un jeton OAuth. ...

Le rapport annuel de Rubrik Zero Labs, intitulé The State of Data Security in 2025: A Distributed Crisis, met en lumière la situation préoccupante de la cybersécurité en Australie. Selon cette étude rapporté par le media Securitybrief, basée sur des entretiens avec plus de 1 600 responsables informatiques et de sécurité dans 10 pays, plus de 90 % des organisations australiennes ciblées par des ransomwares ont choisi de payer les rançons au cours de l’année écoulée. Cette statistique souligne une vulnérabilité critique dans la capacité des entreprises à se défendre et à se remettre des attaques. ...

Aim Labs a récemment découvert une vulnérabilité critique appelée ‘EchoLeak’ dans Microsoft 365 (M365) Copilot. Cette faille permet à des attaquants d’exploiter des chaînes d’attaque pour extraire automatiquement des informations sensibles du contexte de M365 Copilot, sans que l’utilisateur en soit conscient. La technique d’exploitation, nommée ‘LLM Scope Violation’, représente une avancée majeure dans la recherche sur les attaques contre les agents d’IA, en exploitant les mécanismes internes des modèles. Cela pourrait avoir des manifestations supplémentaires dans d’autres chatbots et agents basés sur RAG. ...

Le rapport publié par SentinelLABS met en lumière des clusters de menaces liés aux opérateurs PurpleHaze et ShadowPad qui ciblent diverses organisations, y compris des vendeurs de cybersécurité. En octobre 2024, SentinelLABS a observé et contré une opération de reconnaissance visant SentinelOne, faisant partie du cluster d’activités PurpleHaze. Au début de 2025, une intrusion liée à une opération plus large de ShadowPad a été identifiée et perturbée, affectant une organisation gérant la logistique matérielle pour les employés de SentinelOne. ...

L’article provient du blog de RedTeam Pentesting GmbH et décrit une nouvelle vulnérabilité appelée Reflective Kerberos Relay Attack (CVE-2025-33073) découverte en janvier 2025. Cette vulnérabilité permet de contourner les restrictions mises en place pour empêcher le relais NTLM en utilisant Kerberos à la place. L’attaque repose sur la coercition d’un hôte Windows à s’authentifier via SMB, permettant ainsi de relayer le ticket Kerberos du compte de l’ordinateur vers l’hôte d’origine. Cela aboutit à l’obtention des privilèges NT AUTHORITY\SYSTEM et à l’exécution de code à distance. Un patch pour cette vulnérabilité a été publié par Microsoft le 10 juin 2025. ...

L’article provient de Cato CTRL™ et met en lumière une nouvelle menace dans le domaine de la cybersécurité : la plateforme Nytheon AI, découverte sur le réseau Tor, qui utilise des modèles de langage de grande taille (LLMs) non censurés pour des activités malveillantes. Nytheon AI est une plateforme qui combine divers modèles de langage et technologies pour fournir des services tels que la génération de code, la reconnaissance d’image, et la traduction de documents. Ces modèles sont dérivés de sources open-source comme Meta et Google, mais ont été modifiés pour éliminer les mesures de sécurité et permettre la création de contenu illégal dès la première tentative. ...

Le rapport technique de Sekoia.io, publié en juin 2025, met en lumière l’évolution des attaques de phishing de type Adversary-in-the-Middle (AitM). Ces attaques visent principalement les comptes Microsoft 365 et Google, en exploitant des kits de phishing sophistiqués pour contourner l’authentification multi-facteurs (MFA). Les attaques AitM se concentrent sur le vol de cookies de session pour accéder aux comptes des victimes sans nécessiter de nouvelle authentification. Le rapport souligne la prolifération des offres de Phishing-as-a-Service (PhaaS), qui permettent à des cybercriminels, même peu expérimentés, d’accéder à des kits de phishing avancés à moindre coût. ...