Selon GBHackers, des chercheurs en cybersécurité ont mis au jour une campagne où des acteurs malveillants utilisent des publicités frauduleuses et l’empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware backdoor Oyster. Leurre : faux installateurs de Microsoft Teams destinés aux utilisateurs cherchant un téléchargement légitime via des moteurs de recherche. Méthodes : publicités sponsorisées et SEO poisoning qui positionnent des liens frauduleux sur des requêtes comme « teams download ». Charge utile : backdoor Oyster, permettant aux attaquants d’obtenir un accès à distance. Des chercheurs en cybersécurité ont identifié une campagne sophistiquée exploitant des publicités malveillantes et un empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware de porte dérobée Oyster (alias Broomstick). Les utilisateurs cherchant à télécharger Teams via les moteurs de recherche tombent sur des annonces frauduleuses redirigeant vers des sites usurpant l’apparence des pages officielles, comme teams-install[.]top, qui délivrent un fichier MSTeamsSetup.exe infecté. ...

Un acteur malveillant a publié sur npm un package frauduleux nommé « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mécanisme de BCC caché. Postmark précise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectés. L’attaquant a d’abord établi la confiance en publiant plus de 15 versions du package, puis a introduit une porte dérobée dans la version 1.0.16 qui ajoutait en BCC les emails à un serveur externe. Cette activité visait à exfiltrer des contenus d’emails envoyés par les utilisateurs du package. ...

Source : Elastic Security Labs — Des chercheurs présentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mécanisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacé la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette défense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), évitant toute dépendance à la sys_call_table désormais non utilisée pour le routage effectif. ...

Selon Straight Arrow News (SAN), un pirate se faisant appeler “wikkid” a divulgué des données de RemoteCOM — fournisseur du logiciel de surveillance SCOUT utilisé par des services de probation et de libération conditionnelle dans 49 États — sur un forum cybercriminel. Type d’incident: fuite de données consécutive à une intrusion qualifiée par l’attaquant comme “l’une des plus faciles” qu’il ait réalisées. Entreprise/produit concernés: RemoteCOM et son logiciel SCOUT (spyware de supervision judiciaire). Portée: informations sensibles sur des agents de probation et des personnes sous contrôle judiciaire. Impact et données exposées: ...

Selon reporter.london (en collaboration avec Context.ro), une fuite de données liée à Anykey LLC expose en détail le réseau crypto et de paiements A7 piloté par l’homme d’affaires moldave en fuite Ilan Shor, adossé à des cadres issus de grandes banques russes et connecté à des opérations d’ingérence. Le Financial Times avait précédemment estimé à 9 milliards de dollars les transactions du stablecoin A7A5 dans les quatre premiers mois. • Acteurs et infrastructure clés 🔧 Les documents internes mentionnent des ex-chefs de département de Sberbank, Vnesheconombank (VEB) et Russian Standard comme cadres d’A7. A7 a été lancé avec la banque de défense russe Promsvyazbank (PSB) et inclut le stablecoin adossé au rouble A7A5. Le 3 septembre, Vladimir Poutine a inauguré à Vladivostok le nouveau centre international de traitement des paiements d’A7 aux côtés d’Ilan Shor et du président de PSB, Pyotr Fradkov. La fuite, attribuée à la société IT moscovite Anykey LLC, validée par l’agence moldave IPN, montre aussi un écosystème d’environ 500 personnes reliant A7, l’ONG Evraziya, et des brokers financiers au Kirghizstan. ...

Source: justice.ge.ch (Communiqué de presse du Ministère public Genève, 25/09/2025). Entre le 23 juillet et le 7 septembre 2025, trois personnes (deux âgés de 21 ans et un de 30 ans) ont été interpellées à Genève 🚔. Deux d’entre elles ont été arrêtées dans des véhicules contenant des appareils appelés « SMS-Blaster », la troisième étant le propriétaire de l’un des véhicules. Selon le communiqué, les suspects auraient utilisé ces appareils, qui se substituent aux antennes des opérateurs, pour récupérer des numéros de téléphone et envoyer des SMS contenant un lien vers des sites frauduleux tels que « parkings-ge.com », imitant le site officiel de la fondation des parkings « amendes.ch » 📱🔗. Les destinataires étaient invités à payer une fausse contravention et à fournir leurs données personnelles et bancaires. ...

Selon le Ministère public genevois, trois personnes (deux âgés de 21 ans et une de 30 ans) ont été interpellées entre le 23 juillet et les 5 et 7 septembre pour des arnaques aux fausses amendes à Genève. Les enquêteurs ont saisi des dispositifs «SMS-Blaster» dans des véhicules, permettant de se substituer aux antennes des opérateurs afin de récupérer des numéros et d’envoyer des SMS frauduleux. Les messages renvoyaient vers des sites imitant des services officiels, dont «parkings-ge.com», présenté comme copie du site de la fondation genevoise des parkings. ⚠️ ...

Selon un communiqué du Department of Justice (justice.gov), Georgia Tech Research Corporation a accepté de payer 875 000 $ pour résoudre des allégations de violations du False Claims Act liées au non-respect des exigences de cybersécurité dans des contrats de l’Air Force et de la DARPA. L’affaire, issue d’une plainte de lanceur d’alerte, a impliqué une coordination entre DOJ, DCIS et AFOSI. ⚖️ Les manquements concernent le laboratoire Astrolavos Lab de Georgia Tech, impliqué dans des recherches sensibles en cyberdéfense pour le DoD. Les violations techniques relevées incluent : ...

Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, démarré par l’exécution d’un JavaScript Latrodectus 1.3 déguisé en formulaire fiscal W‑9, menant au déploiement de Brute Ratel puis Cobalt Strike, et à une présence quasi continue durant près de deux mois. • Chaîne d’intrusion: un JS fortement obfusqué télécharge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et établit des C2 (souvent derrière Cloudflare). Le stealer Latrodectus est récupéré, puis, ~1 h après l’accès initial, début de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h après, mise en place d’un BackConnect/VNC opérationnel pour navigation, dépôts d’outils et contrôle à distance. ...

Source: GitHub (b1n4r1b01). Contexte: billet technique décrivant une vulnérabilité CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-système Remaker de MediaToolbox.framework, due à une mauvaise gestion de l’objet FigRemakerTrack conduisant à un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID échoue et le flux de contrôle emprunte un chemin « buggy » où FigRemakerTrack est libéré alors que FigRemaker conserve une référence, ouvrant la voie à une exécution de code dans le processus mediaplaybackd. La vulnérabilité est évoquée dans le cadre des correctifs d’iOS 18.3, parmi les CVE liés à CoreMedia, comme unique cas UAF dans ce lot. ...