Global

Selon Project Black (référence citée), cette publication décrit une technique d’accès physique bien connue permettant de contourner l’écran de connexion Windows en détournant la fonction d’accessibilité Sticky Keys. Le cœur de l’attaque consiste à remplacer l’exécutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois à l’écran de login, l’appui sur MAJ cinq fois déclenche alors un shell en privilèges SYSTEM au lieu de l’outil d’accessibilité. Ce contournement permet de réinitialiser des mots de passe ou de créer des comptes administrateurs sans s’authentifier. ⚠️ ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...

Source : TrustedSec — Dans une analyse technique, les chercheurs décrivent une méthode d’exploitation de Windows Server Update Services (WSUS) par relais NTLM permettant de capter des identifiants de machines (et parfois d’utilisateurs) et de les relayer vers d’autres services d’entreprise. L’attaque s’appuie sur un attaquant présent sur le réseau local réalisant de l’ARP/DNS spoofing pour intercepter le trafic WSUS. Les communications des clients WSUS sont redirigées vers un listener ntlmrelayx contrôlé par l’attaquant, ce qui expose les flux d’authentification NTLM. ...

Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain. Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

The Record rapporte qu’un chercheur de Citizen Lab, John Scott-Railton, a aidé à confirmer une infection impliquant FlexiSPY, un logiciel espion (spyware) commercial. D’après Scott-Railton, FlexiSPY est plus facilement détectable que des spywares mercenaires bien plus onéreux utilisés par des États-nations, mais il dispose de capacités similaires une fois installé. L’information met en parallèle la disponibilité commerciale de FlexiSPY et la sophistication opérationnelle d’outils mercenaires plus coûteux, tout en soulignant la confirmation d’une infection par Citizen Lab. 🕵️‍♂️ ...

Selon Google Security Blog, Google annonce l’arrivée du support des C2PA Content Credentials sur les Pixel 10 afin de répondre aux enjeux de vérification des contenus générés par l’IA. L’implémentation vise la traçabilité de provenance plutôt qu’une simple détection binaire, et revendique le plus haut niveau de sécurité C2PA grâce à une pile matérielle et logicielle certifiée. Points clés 🔒 Passage d’une classification IA/non-IA à une provenance vérifiable des médias. Niveau de sécurité C2PA « maximal » via authentification adossée au matériel et certificats à usage unique. Fonctionnement hors ligne et gestion de certificats préservant la confidentialité (non-traçabilité des images). Architecture et composants de sécurité 🛡️ ...

Selon le Plex Forum (forums.plex.tv), l’entreprise a détecté et contenu un incident de sécurité impliquant un accès non autorisé à une partie de ses données clients. L’incident concerne un accès par un tiers non autorisé à « un sous-ensemble limité » de données dans l’une de leurs bases. Les informations impliquées incluent des emails, noms d’utilisateur, mots de passe hachés de manière sécurisée et des données d’authentification. Plex précise ne pas stocker de données de carte bancaire sur ses serveurs, et indique que l’impact serait limité. ...

Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montée des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adopté par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisé l’émergence de variantes, dont Phantom Stealer, présentant un chevauchement de code important qui complique la détection. Côté capacités, Stealerium opère un vol de données étendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une détection de contenus pour adultes pouvant servir à la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposées sur Internet via une désérialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clés machine d’exemple issues d’anciens guides de déploiement. Sitecore a corrigé le problème et a notifié les clients utilisant des configurations héritées avec ces clés. L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dédié à la reconnaissance, qui collecte des informations système et les exfiltre via des champs HTML cachés. Le ou les acteurs ont ensuite élevé les privilèges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procédé à un dump des hives SAM/SYSTEM et déployé plusieurs outils pour la persistance, le mouvement latéral et la reconnaissance AD : EARTHWORM (tunneling réseau), DWAGENT (accès à distance) et SHARPHOUND (cartographie Active Directory). ...