Publication De Recherche

L’article publié par le Threat Research Center de Palo Alto Networks le 6 juin 2025, offre une analyse approfondie du malware Blitz, découvert en 2024 et toujours en développement actif en 2025. Ce malware cible les utilisateurs de triches de jeux en utilisant des logiciels de triche compromis pour se propager. Blitz est un malware en deux étapes : un téléchargeur et un bot. Le bot permet de contrôler un hôte Windows infecté et dispose de fonctionnalités telles que le vol d’informations, la capture d’écran et les attaques par déni de service (DoS). Le malware utilise la plateforme Hugging Face Spaces pour héberger ses composants et son infrastructure de commande et contrôle (C2). ...

L’équipe de recherche sur les menaces de Socket a mis en lumière une menace sérieuse concernant des packages npm malveillants. Ces packages, publiés par un utilisateur npm sous le pseudonyme botsailer, utilisent l’email anupm019@gmail[.]com pour se faire passer pour des utilitaires légitimes. Les deux packages concernés, express-api-sync et system-health-sync-api, contiennent des portes dérobées qui enregistrent des endpoints cachés. Ces endpoints, lorsqu’ils sont activés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui peuvent effacer des répertoires entiers d’applications, causant ainsi des dommages potentiellement dévastateurs aux systèmes de production. ...

Selon une publication de Malwarebytes, des cybercriminels exploitent la saison des vacances pour lancer une campagne de redirection via des sites de jeux et des réseaux sociaux vers de faux sites se faisant passer pour Booking.com. Cette campagne a commencé à mi-mai et les destinations de redirection changent tous les deux à trois jours. Les utilisateurs sont dirigés vers des sites utilisant une fausse CAPTCHA pour accéder au presse-papiers des visiteurs et les inciter à exécuter un commande PowerShell malveillante. Cette commande télécharge et exécute un fichier détecté comme Backdoor.AsyncRAT, permettant aux attaquants de contrôler à distance les appareils infectés. ...

Des chercheurs en sécurité ont mis au jour plusieurs vulnérabilités critiques dans des applications préinstallées sur les smartphones Android des marques Ulefone et Krüger&Matz. Ces failles ont été rapportées par CERT Polska, une organisation polonaise spécialisée dans la cybersécurité. Les vulnérabilités identifiées exposent les utilisateurs à des risques significatifs, notamment le vol de données et la manipulation de l’appareil par des applications malveillantes. En effet, des applications tierces installées sur le même appareil peuvent exploiter ces failles sans nécessiter d’authentification, ce qui rend ces attaques particulièrement dangereuses. ...

L’actualité rapportée par Checkmarx Zero met en lumière une campagne malveillante ciblant les utilisateurs de Python et NPM. Cette campagne utilise des techniques de typo-squatting et de confusion de noms pour tromper les utilisateurs en téléchargeant des packages malveillants. Les packages malveillants ont été identifiés sur PyPI et NPM, utilisant des noms similaires à des packages légitimes comme colorama et colorizr. Cette approche inclut l’utilisation de noms d’un écosystème pour attaquer un autre, une tactique inhabituelle. ...

L’équipe de recherche de CYFIRMA a découvert un nouveau ransomware nommé Lyrix lors de la surveillance de forums clandestins, dans le cadre de leur processus de découverte de menaces. Ce ransomware est développé en Python et compilé avec PyInstaller, ce qui lui permet de fonctionner comme un exécutable autonome sur les systèmes Windows. Il utilise une encryption forte et ajoute une extension unique ‘.02dq34jROu’ aux fichiers chiffrés. Lyrix se distingue par ses techniques d’évasion avancées et ses mécanismes de persistance, rendant sa détection et sa suppression difficiles. Il obfusque ses comportements malveillants, contourne les systèmes de détection basés sur des règles, et menace de divulguer les données volées sur des forums clandestins. ...

Cet article, publié par SquareX Labs, met en lumière les attaques Browser-in-the-Middle (BitM), une méthode où un attaquant utilise les fonctionnalités d’un navigateur pour établir une connexion de bureau à distance non détectée dans le navigateur de la victime. Un défaut majeur de l’attaque BitM est que la victime doit accéder à un site malveillant et effectuer une action pour ouvrir une fenêtre pop-up noVNC. Cependant, l’adresse URL malveillante dans la barre d’adresse du navigateur parent peut éveiller les soupçons des utilisateurs avertis. ...

Selon un rapport des chercheurs de QuorumCyber, le groupe de ransomware Interlock a déployé un trojan d’accès à distance (RAT) inédit nommé NodeSnake contre des établissements éducatifs pour maintenir un accès persistant aux réseaux d’entreprise. Les chercheurs ont observé le déploiement de NodeSnake dans au moins deux cas ciblant des universités au Royaume-Uni en janvier et mars 2025. Cette attaque montre une stratégie ciblée du groupe Interlock pour infiltrer les réseaux éducatifs. ...

Dans un article publié par Sean Heelan, un chercheur en sécurité a révélé la découverte d’une vulnérabilité zero-day dans le noyau Linux en utilisant le modèle OpenAI o3. Cette découverte met en lumière les capacités avancées des modèles de langage pour l’analyse de code. Le chercheur a examiné le composant ksmbd, un serveur du noyau Linux implémentant le protocole SMB3, pour des vulnérabilités. Lors de ses tests, le modèle o3 a identifié la vulnérabilité CVE-2025-37899, un use-after-free dans le gestionnaire de la commande SMB ’logoff’. Cette faille nécessite de comprendre la gestion des connexions concurrentes au serveur et la manière dont elles partagent des objets. ...

L’article de SecurityWeek présente une nouvelle approche développée par des chercheurs de la CISA et du NIST pour améliorer la gestion des vulnérabilités en cybersécurité. Peter Mell du NIST et Jonathan Spring de CISA ont publié un document décrivant les équations Likely Exploited Vulnerabilities (LEV). Ces équations visent à calculer la probabilité qu’une vulnérabilité soit exploitée dans la nature, complétant ainsi les listes de Known Exploited Vulnerabilities (KEV) et le Exploit Prediction Scoring System (EPSS). ...