Global

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...

L’article de Bleeping Computer met en lumière une situation où une prétendue “énorme fuite de données” s’est avérée être une compilation de données volées déjà existantes. Bien que cette annonce ait suscité une couverture médiatique alarmiste, il ne s’agit pas d’une nouvelle fuite de données. Les identifiants compromis étaient déjà en circulation depuis un certain temps, ayant été volés par des infostealers, exposés lors de précédentes fuites de données, ou obtenus via des attaques de credential stuffing. Ces informations ont ensuite été regroupées et exposées par des chercheurs ou des acteurs malveillants. ...

L’article de BleepingComputer rapporte une exploitation active d’une vulnérabilité critique dans le thème WordPress ‘Motors’. Cette faille permet une escalade de privilèges, permettant aux attaquants de s’emparer des comptes administrateurs et de prendre le contrôle total des sites affectés. La vulnérabilité est particulièrement préoccupante car elle touche un thème populaire utilisé par de nombreux sites WordPress. Les attaquants peuvent exploiter cette faille pour modifier le contenu du site, installer des logiciels malveillants ou voler des données sensibles. ...

L’actualité rapportée par Coindesk met en lumière une attaque ciblant CoinMarketCap, un site populaire de suivi des crypto-monnaies. Des hackers ont exploité une vulnérabilité dans le système front-end de CoinMarketCap en utilisant une image de doodle apparemment inoffensive pour injecter du code malveillant. Ce code a déclenché des pop-ups de vérification de portefeuille factices sur l’ensemble du site, incitant les utilisateurs à “Vérifier le portefeuille” dans le cadre d’une tactique de phishing visant à accéder à leurs avoirs en crypto-monnaies. ...

L’actualité rapportée par Cloudflare met en lumière une attaque DDoS massive qui a atteint un pic de 7,3 terabits par seconde, marquant un record dans les attaques de ce type. En seulement 45 secondes, l’attaque a généré 37,4 téraoctets de trafic indésirable, soit l’équivalent de plus de 9 300 films HD complets. Cette attaque a visé un client de Cloudflare, dont l’identité n’a pas été révélée, et a touché un total de 34 500 ports, démontrant une planification minutieuse et une exécution sophistiquée. ...

L’article publié par Qualys TRU révèle la découverte de deux vulnérabilités d’escalade de privilèges locales (LPE) sur SUSE Linux. Ces vulnérabilités, identifiées comme CVE-2025-6018 et CVE-2025-6019, permettent à un attaquant non privilégié d’obtenir un accès root complet. La première vulnérabilité, CVE-2025-6018, se trouve dans la configuration PAM d’openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle permet à un attaquant local, via SSH par exemple, de s’élever au niveau de l’utilisateur “allow_active” et d’invoquer des actions polkit normalement réservées à un utilisateur physiquement présent. ...

Selon un article publié par Bleeping Computer, une nouvelle version du malware Android connu sous le nom de ‘Godfather’ a été détectée. Ce malware est conçu pour créer des environnements virtuels isolés sur les appareils mobiles afin de voler des données de compte et des transactions à partir d’applications bancaires légitimes. Le malware ‘Godfather’ cible spécifiquement les utilisateurs d’applications bancaires en créant un environnement sécurisé qui imite l’application bancaire légitime. Cela permet au malware de capturer les informations sensibles des utilisateurs, telles que les identifiants de connexion et les détails des transactions. ...

Elastic Security Labs a détecté une augmentation des campagnes utilisant la technique ClickFix, une méthode d’ingénierie sociale qui incite les utilisateurs à exécuter du code malveillant via des commandes PowerShell. Cette technique est exploitée pour déployer des Remote Access Trojans (RATs) et des malware voleurs d’informations. Le rapport met en lumière l’utilisation de GHOSTPULSE, un chargeur de payloads multi-étapes, pour introduire des versions mises à jour de malwares tels que ARECHCLIENT2. Cette campagne commence par un leurre ClickFix, suivi du déploiement de GHOSTPULSE, qui charge ensuite un loader .NET intermédiaire pour finalement injecter ARECHCLIENT2 en mémoire. ...

L’article publié sur le blog developpeurs de Chrome informe que Google Chrome introduit un nouveau mécanisme de permission pour les sites accédant aux réseaux locaux des utilisateurs. Cette initiative vise à protéger contre les attaques de type Cross-Site Request Forgery (CSRF) ciblant les routeurs et autres appareils sur les réseaux privés. Le changement fait partie de la spécification du Local Network Access, remplaçant un effort précédent appelé Private Network Access. Les utilisateurs peuvent tester cette fonctionnalité dans Chrome 138 en activant un paramètre spécifique. Cette permission restreint l’envoi de requêtes aux serveurs sur le réseau local, nécessitant une autorisation préalable de l’utilisateur. ...

L’actualité provient de SafetyDetectives qui a découvert un forum sur le web clair où un acteur malveillant a publié une base de données prétendument appartenant à VirtualMacOSX.com. VirtualMacOSX.com est une entreprise offrant des services de cloud computing basés sur Apple Macintosh dans 102 pays depuis 2012. La fuite concerne des données de 10,000 clients, trouvées sur un forum dédié aux téléchargements de bases de données et aux fuites. La base de données comprend des informations sensibles telles que l’ID utilisateur, le nom complet, le nom de l’entreprise, l’adresse email, l’adresse physique complète, le numéro de téléphone, le mot de passe et la clé de réinitialisation du mot de passe. Des données financières telles que le nom de la banque, le type de banque, le code bancaire et le compte bancaire ont également été divulguées. ...