Global

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Selon un article de Bleeping Computer, des hackers ont commencé à exploiter une vulnérabilité critique d’exécution de code à distance dans le logiciel Wing FTP Server. Cette exploitation a débuté seulement un jour après que les détails techniques de la faille ont été rendus publics. La vulnérabilité permet à un attaquant de prendre le contrôle d’un serveur vulnérable à distance, ce qui peut avoir des conséquences graves pour les utilisateurs du logiciel. La rapidité de l’exploitation souligne l’importance de la réactivité en matière de cybersécurité. ...

L’article publié par Bleeping Computer met en lumière une vulnérabilité dans Google Gemini for Workspace, un outil utilisé pour générer des résumés d’emails. Cette vulnérabilité permet aux attaquants de créer des résumés qui semblent légitimes mais qui incluent des instructions malveillantes ou des avertissements. Ces résumés peuvent diriger les utilisateurs vers des sites de phishing sans utiliser de pièces jointes ou de liens directs, rendant la détection plus difficile. Le risque réside dans la capacité des attaquants à manipuler le contenu des emails pour inciter les utilisateurs à effectuer des actions dangereuses. ...

Un article publié par Galactic Advisors met en lumière deux vulnérabilités critiques dans l’outil Network Detective de RapidFire Tools, une filiale de Kaseya. La première vulnérabilité concerne le stockage de mots de passe en clair dans des fichiers temporaires non protégés sur l’appareil exécutant l’analyse. Cela permet à un attaquant ayant accès à la machine de récupérer facilement ces informations sensibles, compromettant ainsi la sécurité des infrastructures clientes. La deuxième vulnérabilité est liée à une méthode de chiffrement réversible utilisée par Network Detective. L’outil utilise des valeurs statiques intégrées pour chiffrer les données, ce qui permet à quiconque ayant accès à l’outil ou aux données chiffrées de décrypter facilement les mots de passe. ...

Security Explorations, un laboratoire de recherche, a mené une analyse de sécurité sur la technologie eSIM, révélant une compromission des cartes eUICC de Kigen. Cette découverte remet en question les affirmations de sécurité de Kigen, qui prétend que ses eSIM sont aussi sécurisées que les cartes SIM traditionnelles grâce à la certification GSMA. L’attaque a permis de compromettre des cartes eUICC en accédant physiquement à la carte et en connaissant les clés nécessaires pour installer des applications Java malveillantes. Un vecteur d’attaque à distance via le protocole OTA SMS-PP a également été démontré. Cela prouve l’absence de sécurité pour les profils eSIM et les applications Java sur ces cartes. ...

Selon un article publié par Bleeping Computer, le plugin populaire Gravity Forms pour WordPress a été victime d’une attaque de la chaîne d’approvisionnement. Cette attaque a compromis les installateurs manuels disponibles sur le site officiel, en les infectant avec une porte dérobée. Gravity Forms est largement utilisé par les sites WordPress pour créer des formulaires personnalisés. L’attaque a ciblé spécifiquement les utilisateurs qui téléchargeaient et installaient manuellement le plugin depuis le site officiel, insérant un code malveillant dans le processus d’installation. ...

Dans un article publié par Modzero, une vulnérabilité critique a été découverte dans l’application Synology Active Backup for Microsoft 365 (ABM) qui permettait l’accès non autorisé à tous les locataires Microsoft des organisations utilisant ce service. Cette faille, identifiée comme CVE-2025-4679, a été signalée à Synology. L’impact de cette vulnérabilité est significatif, car elle pourrait être exploitée par des acteurs malveillants pour obtenir des informations potentiellement sensibles, telles que tous les messages dans les canaux de Microsoft Teams. Cela fait de l’application un cible idéale pour des attaques ultérieures, notamment par abus de crédentiels ou ingénierie sociale. ...

Les experts de Kaspersky GReAT ont récemment découvert des extensions malveillantes pour l’application Cursor AI. Ces extensions sont utilisées pour télécharger le Quasar backdoor, un outil d’accès à distance malveillant, ainsi qu’un crypto stealer, un logiciel destiné à voler des cryptomonnaies. Quasar est un backdoor connu pour ses capacités de surveillance et de contrôle à distance, souvent utilisé par des acteurs malveillants pour infiltrer des systèmes informatiques. Le fait qu’il soit associé à un voleur de cryptomonnaies dans cette attaque souligne le double objectif de ces extensions : l’espionnage et le vol financier. ...

L’article publié par gbhackers.com le 10 juillet 2025, met en lumière une nouvelle attaque de type man-in-the-middle nommée “Opossum”, capable de compromettre les communications sécurisées. Opossum cible une large gamme de protocoles d’application couramment utilisés, tels que HTTP, FTP, POP3, SMTP, LMTP et NNTP, qui prennent en charge le TLS “implicite” sur des ports dédiés et le TLS “opportuniste” via des mécanismes de mise à niveau. En exploitant des différences subtiles d’implémentation entre ces deux modes, un attaquant peut provoquer une désynchronisation entre le client et le serveur, compromettant ainsi les garanties d’intégrité du TLS et manipulant les données vues par le client. ...

McHire est la plateforme de recrutement automatisée utilisée par plus de 90 % des franchises McDonald’s. Propulsée par un chatbot nommé Olivia, développé par la société Paradox.ai, elle collecte les données personnelles des candidats, leurs disponibilités et les fait passer par un test de personnalité. En enquêtant sur les dysfonctionnements rapportés sur Reddit, les chercheurs Ian Carroll et Sam Curry ont identifié deux failles majeures : l’interface d’administration acceptait les identifiants par défaut 123456:123456, et une API interne vulnérable à une faille IDOR permettait d’accéder aux données de tous les candidats. ...