Global

Cet article, publié par SquareX Labs, met en lumière les attaques Browser-in-the-Middle (BitM), une méthode où un attaquant utilise les fonctionnalités d’un navigateur pour établir une connexion de bureau à distance non détectée dans le navigateur de la victime. Un défaut majeur de l’attaque BitM est que la victime doit accéder à un site malveillant et effectuer une action pour ouvrir une fenêtre pop-up noVNC. Cependant, l’adresse URL malveillante dans la barre d’adresse du navigateur parent peut éveiller les soupçons des utilisateurs avertis. ...

L’article de BleepingComputer rapporte la découverte d’un nouveau malware nommé PumaBot, qui cible spécifiquement les appareils IoT sous Linux. PumaBot est un botnet écrit en Go, un langage de programmation connu pour sa portabilité et son efficacité. Ce malware utilise des attaques par force brute pour compromettre les identifiants SSH des appareils IoT, ce qui lui permet de déployer des charges utiles malveillantes. Les appareils IoT, souvent mal sécurisés, sont des cibles privilégiées pour ce type d’attaques, car ils peuvent être intégrés dans un réseau de botnets pour mener diverses activités malveillantes telles que des attaques DDoS ou l’exfiltration de données. ...

L’article publié par BleepingComputer met en lumière une nouvelle méthode utilisée par des acteurs malveillants pour contourner les outils de sécurité en ligne. En exploitant la plateforme de confiance Google Apps Script, ces acteurs parviennent à héberger des pages de phishing qui paraissent légitimes. Google Apps Script, une plateforme généralement utilisée pour automatiser des tâches sur Google Workspace, est détournée de son usage initial pour créer des pages de phishing. Cette méthode permet aux attaquants de masquer leurs intentions malveillantes derrière la réputation de confiance de Google, rendant ainsi leurs attaques plus difficiles à détecter. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...

GreyNoise a utilisé un outil d’analyse de trafic réseau alimenté par l’IA, nommé SIFT, pour détecter des charges utiles anormales visant à désactiver les fonctionnalités de sécurité TrendMicro sur les routeurs ASUS. Cette activité a été découverte initialement le 18 mars 2025, mais la divulgation publique a été retardée pour coordonner les découvertes avec des partenaires gouvernementaux et industriels. L’attaque combine des méthodes anciennes et nouvelles, débutant par des attaques par force brute sur login.cgi, suivies d’exploitations de vulnérabilités de contournement d’authentification plus anciennes. Une fois l’accès privilégié obtenu, les attaquants exploitent une vulnérabilité d’injection de commande pour créer un fichier vide à /tmp/BWSQL_LOG, activant ainsi la journalisation BWDPI, une fonctionnalité TrendMicro intégrée. ...

Selon Phishguard, une augmentation des campagnes de phishing utilisant des fichiers SVG a été observée, ces fichiers étant utilisés comme vecteurs de livraison initiaux en raison de leur flexibilité et des défis qu’ils posent pour la détection statique. Les SVGs, un format basé sur XML pour les graphiques vectoriels, peuvent intégrer du JavaScript et interagir avec le DOM, ce qui les rend capables d’exécuter des scripts malveillants. Ces fichiers sont souvent mal classifiés comme des images inoffensives, ce qui permet à des pièces jointes SVG malveillantes de contourner les filtres de sécurité. ...

Selon un rapport de BleepingComputer, une campagne de malware utilisant le loader Bumblebee a été découverte, ciblant des outils open-source populaires comme Zenmap et WinMTR. Cette campagne utilise des techniques de typosquatting et de SEO poisoning pour tromper les utilisateurs. Les attaquants ont créé des sites web frauduleux tels que zenmap[.]pro et winmtr[.]org pour distribuer des payloads malveillants. Bien que winmtr[.]org soit actuellement hors ligne, zenmap[.]pro reste actif et redirige les utilisateurs vers une fausse version du site de Zenmap. ...

Le centre AhnLab SEcurity intelligence Center (ASEC) a récemment mis en lumière une nouvelle menace de cybersécurité impliquant la distribution de malware de phishing via des fichiers au format Scalable Vector Graphics (SVG). Les fichiers SVG, bien que généralement utilisés pour des icônes, logos, graphiques et autres images vectorielles, peuvent intégrer des scripts CSS et JavaScript, rendant ce format potentiellement dangereux lorsqu’il est exploité à des fins malveillantes. En novembre 2024, le blog ASEC avait déjà abordé le sujet des fichiers SVG, soulignant les risques associés à leur utilisation non sécurisée. Cette découverte récente met en évidence l’évolution continue des techniques de phishing, utilisant des formats de fichiers inattendus pour contourner les mesures de sécurité traditionnelles. ...

Dans un article publié par Sean Heelan, un chercheur en sécurité a révélé la découverte d’une vulnérabilité zero-day dans le noyau Linux en utilisant le modèle OpenAI o3. Cette découverte met en lumière les capacités avancées des modèles de langage pour l’analyse de code. Le chercheur a examiné le composant ksmbd, un serveur du noyau Linux implémentant le protocole SMB3, pour des vulnérabilités. Lors de ses tests, le modèle o3 a identifié la vulnérabilité CVE-2025-37899, un use-after-free dans le gestionnaire de la commande SMB ’logoff’. Cette faille nécessite de comprendre la gestion des connexions concurrentes au serveur et la manière dont elles partagent des objets. ...

L’article, publié par The Hacker News, met en lumière l’évolution du malware Latrodectus qui utilise désormais la technique de ClickFix pour se propager. ClickFix est une méthode de social engineering qui permet au malware de s’exécuter directement en mémoire, ce qui complique sa détection par les navigateurs et les solutions de sécurité traditionnelles. Cette technique est particulièrement préoccupante car elle réduit les opportunités de détection avant que le malware ne soit actif. ...