🔍 Contexte Publié le 24 avril 2026 par DomainTools (SecuritySnacks), cet article présente une analyse technique approfondie de la campagne AiFrame, active depuis au moins début 2025, ciblant les utilisateurs de navigateurs Chrome via des extensions malveillantes. 🎯 Extension principale : faux Google Authenticator Une extension Chrome intitulée “2FA Authenticator” (ID : ebhcbenbgjmaebpgbldimndmfomjmphd), publiée le 2 avril 2026 avec plus de 30 000 téléchargements, usurpe l’identité de Google Authenticator. Elle utilise : ...

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🗓️ Contexte Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique détaillé d’une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par Codean Labs. 🔍 Problème fondamental L’article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que les chaînes de chemin (path strings) ne sont pas des références stables à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use). ...

🗓️ Contexte Source : generation-nt.com, publié le 22 avril 2026. L’article rapporte une cyberattaque confirmée par Coopérative U, quatrième acteur de la grande distribution alimentaire en France, exploitant 1 904 points de vente sous les enseignes Super U et Hyper U. 🎯 Nature de l’incident Une intrusion malveillante externe a ciblé les comptes de fidélité hébergés sur la plateforme magasins-u.com. L’enseigne a notifié ses clients par e-mail de cet accès non autorisé. ...

🔍 Contexte Publié le 23 avril 2026 par The Register, cet article couvre une présentation donnée à la conférence Black Hat Asia à Singapour par Ilan Kalendarov et Ben Zamir de la société de sécurité Cymulate. Leur talk, intitulé “Breaking Hybrid Boundaries Across Azure and Windows”, porte sur des vulnérabilités découvertes dans Microsoft Windows Admin Center (WAC). 🛡️ Vulnérabilités identifiées Quatre CVEs ont été découvertes et signalées à Microsoft, qui a depuis publié des correctifs : ...

🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive : ...

🗓️ Contexte Article publié le 23 avril 2026 par The Guardian (Hannah Devlin), confirmant une déclaration du ministre britannique de la technologie Ian Murray devant la Chambre des communes. L’incident concerne une fuite de données médicales issues du projet UK Biobank, une base de données de référence mondiale contenant les données de santé de 500 000 volontaires britanniques. 📋 Déroulement de l’incident Le 20 avril 2026, UK Biobank a informé le gouvernement britannique que ses données étaient proposées à la vente sur trois annonces distinctes sur les plateformes e-commerce d’Alibaba en Chine. Au moins un des trois jeux de données semblait contenir les informations de la totalité des 500 000 participants du UK Biobank. Les données sont qualifiées de « dé-identifiées » (sans noms, adresses ni dates de naissance précises), mais restent potentiellement ré-identifiables — le Guardian ayant réussi à ré-identifier un participant dans un dataset similaire le mois précédent. Le gouvernement britannique a travaillé avec les autorités chinoises et Alibaba pour faire retirer les annonces avant qu’aucune vente ne soit conclue. 🔍 Source de la fuite La fuite est attribuée à trois institutions de recherche dont l’accès a été révoqué par UK Biobank. Depuis 2024, les chercheurs sont tenus d’analyser les données via une plateforme cloud sécurisée, mais aucun blocage technique n’empêchait le téléchargement des données brutes, malgré une obligation contractuelle de ne pas le faire. Des experts qualifient cette absence de contrôle technique d’« échec extraordinaire » et de comportement « suprêmement négligent ». ⚠️ Impact et réponse UK Biobank a suspendu temporairement l’accès à l’ensemble de ses données (durée estimée : trois semaines). UK Biobank s’est auto-référencé à l’Information Commissioner’s Office (ICO). Un audit piloté par le conseil d’administration a été lancé. Des travaux sont en cours pour implémenter un « airlock » automatisé contrôlant les fichiers sortants de la plateforme. Les données concernées incluent : séquences génomiques, IRM cérébrales, échantillons sanguins, dossiers diagnostiques et données de médecins généralistes. 📌 Type d’article Article de presse généraliste relatant un incident de sécurité confirmé par le gouvernement britannique, visant à informer le public sur une fuite de données médicales à grande échelle et les mesures de réponse engagées. ...

📰 Source : Help Net Security, 23 avril 2026. Étude de mesure académique sur le tracking web dans 10 juridictions mondiales. Contexte Des chercheurs ont crawlé un ensemble de sites web populaires depuis des machines virtuelles localisées dans 10 pays : Australie, Brésil, Canada, Allemagne, Inde, Singapour, Afrique du Sud, Corée du Sud, Espagne et Californie. L’objectif était de mesurer l’exposition réelle aux trackers selon la juridiction et le régime réglementaire applicable. ...

🔍 Contexte Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet. 🧩 Composants de l’implant L’implant fast16 est constitué de deux éléments principaux : svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577. fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés. ⚙️ Mécanismes techniques Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation. Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale. Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes. Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié. 🎯 Cibles identifiées L’analyse des patterns de patching identifie trois candidats logiciels cibles : ...