Global

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...

L’article met en lumière une avancée en cybersécurité présentée par Hells Hollow, qui dévoile une nouvelle méthode de rootkit sur Windows 11. Cette technique repose sur l’utilisation de hooks SSDT en Rust, permettant de manipuler le mécanisme des Alt Syscalls du noyau. Cette approche permet de contourner ETW (Event Tracing for Windows) et de réaliser des patches sur les valeurs de retour, tout en restant résistante à PatchGuard, le système de protection du noyau de Windows. Cela confère à cette méthode une capacité de furtivité accrue, rendant les détections traditionnelles moins efficaces. ...

L’article de HackRead rapporte que BreachForums, une plateforme notoire du Dark Web, a refait surface sur son domaine .onion d’origine. Cette réapparition intervient dans un contexte où les forces de l’ordre intensifient leurs efforts pour démanteler les activités illégales en ligne. BreachForums est connu pour être un espace où des données volées sont échangées, ce qui en fait une cible privilégiée pour les autorités. Sa réapparition soulève des questions importantes concernant la sécurité de la plateforme et l’identité de ses administrateurs. ...

Bleeping Computer rapporte une vulnérabilité critique dans l’outil de ligne de commande Gemini de Google. Cette faille permet à des attaquants d’exécuter silencieusement des commandes malveillantes et d’exfiltrer des données depuis les ordinateurs des développeurs en utilisant des programmes autorisés. Une vulnérabilité dans Gemini CLI, l’outil en ligne de commande de Google permettant d’interagir avec l’IA Gemini, a permis à des attaquants d’exécuter du code malveillant à l’insu des développeurs. Découverte par l’entreprise de sécurité Tracebit le 27 juin 2025, la faille a été corrigée dans la version 0.1.14 publiée le 25 juillet. Gemini CLI, lancé fin juin, facilite les tâches de développement en intégrant des fichiers projets dans son contexte et en exécutant des commandes locales, parfois sans confirmation de l’utilisateur. ...

L’article publié par Zero Day Initiative détaille une vulnérabilité critique découverte dans Cisco Identity Services Engine (ISE), identifiée comme CVE-2025-20281. Cette faille permet une exécution de code à distance non authentifiée via une désérialisation de données non fiables dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. L’analyse révèle que la vulnérabilité initiale a conduit à une injection de commande en tant que root, exploitée par l’attaquant pour obtenir un shell root sur les installations affectées de Cisco ISE, y compris l’évasion d’un conteneur Docker. Cette vulnérabilité est due à une mauvaise gestion de la désérialisation et à l’utilisation incorrecte de la fonction Runtime.getRuntime().exec() de Java. ...

Selon un article de The Register, une vulnérabilité zero-day a été exploitée dans Microsoft SharePoint, malgré les correctifs de sécurité publiés par Microsoft. Cette exploitation a été rendue possible par une fuite d’informations concernant les vulnérabilités, permettant à des acteurs malveillants, y compris des espions chinois et des opérateurs de ransomware, de contourner les correctifs. L’incident a débuté lors de la compétition Pwn2Own à Berlin, où un chercheur vietnamien a démontré une exploitation réussie de SharePoint, remportant 100 000 $. Microsoft a reçu un rapport détaillé de l’exploit, mais les vulnérabilités ont été divulguées avant que les correctifs ne soient pleinement efficaces. ...

L’article publié sur BleepingComputer met en lumière une vulnérabilité critique affectant plus de 200 000 sites WordPress utilisant le plugin Post SMTP. Cette faille permettrait à des hackers de prendre le contrôle du compte administrateur des sites touchés. Le plugin Post SMTP est largement utilisé pour configurer les paramètres SMTP sur les sites WordPress, ce qui en fait une cible de choix pour les attaquants cherchant à exploiter des failles de sécurité. La vulnérabilité en question permettrait à un attaquant d’exécuter des actions avec les privilèges d’un compte administrateur, compromettant ainsi la sécurité des sites affectés. ...

L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024. Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau. ...

La conférence SciPy 2025, telle que rapportée par Emerging Technology Security, a mis en lumière des avancées significatives dans le domaine de la sécurité de l’IA utilisant Python. Les discussions ont porté sur des thèmes clés tels que l’IA explicable pour la conformité et la transparence, l’utilisation de l’analyse de graphes pour la détection des menaces, les pratiques sécurisées de déploiement des LLM (modèles de langage de grande taille), et la vérification des modèles via OpenSSF Model Signing. ...

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...