Global

CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif. Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants. ...

L’article publié par le Threat Research Center de Palo Alto Networks le 6 juin 2025, offre une analyse approfondie du malware Blitz, découvert en 2024 et toujours en développement actif en 2025. Ce malware cible les utilisateurs de triches de jeux en utilisant des logiciels de triche compromis pour se propager. Blitz est un malware en deux étapes : un téléchargeur et un bot. Le bot permet de contrôler un hôte Windows infecté et dispose de fonctionnalités telles que le vol d’informations, la capture d’écran et les attaques par déni de service (DoS). Le malware utilise la plateforme Hugging Face Spaces pour héberger ses composants et son infrastructure de commande et contrôle (C2). ...

L’équipe de recherche sur les menaces de Socket a mis en lumière une menace sérieuse concernant des packages npm malveillants. Ces packages, publiés par un utilisateur npm sous le pseudonyme botsailer, utilisent l’email anupm019@gmail[.]com pour se faire passer pour des utilitaires légitimes. Les deux packages concernés, express-api-sync et system-health-sync-api, contiennent des portes dérobées qui enregistrent des endpoints cachés. Ces endpoints, lorsqu’ils sont activés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui peuvent effacer des répertoires entiers d’applications, causant ainsi des dommages potentiellement dévastateurs aux systèmes de production. ...

Selon un article de BleepingComputer, une vulnérabilité a été découverte dans le système de récupération des comptes Google. Cette faille permettait à des chercheurs de réaliser des attaques par force brute sur le numéro de téléphone de récupération d’un compte Google, simplement en connaissant le nom de profil et un numéro de téléphone partiel. Cette vulnérabilité posait un risque majeur pour les utilisateurs, les exposant à des attaques de phishing et de SIM-swapping. Ces types d’attaques peuvent conduire à des compromissions de comptes, des vols d’identité, et des pertes financières. ...

Selon un article de Bleeping Computer, une nouvelle variante du botnet Mirai a été détectée exploitant une vulnérabilité d’injection de commande dans les appareils d’enregistrement vidéo numérique TBK DVR-4104 et DVR-4216. Le malware Mirai, bien connu pour sa capacité à transformer des appareils IoT en botnets, cible ici spécifiquement des enregistreurs vidéo numériques. Cette attaque met en lumière une faille critique qui permet aux attaquants de prendre le contrôle de ces appareils. ...

L’article de BleepingComputer met en lumière une vulnérabilité critique dans le logiciel de messagerie web Roundcube, identifiée sous le code CVE-2025-49113. Cette faille permet une exécution de code à distance (RCE), ce qui signifie qu’un attaquant pourrait potentiellement exécuter des commandes arbitraires sur le serveur hébergeant le logiciel vulnérable. Cette vulnérabilité est d’autant plus préoccupante qu’un exploit public est déjà disponible, augmentant le risque d’attaques massives. Plus de 84 000 instances de Roundcube sont actuellement exposées à cette menace. Les administrateurs de systèmes utilisant ce logiciel sont fortement encouragés à appliquer les correctifs dès que possible pour éviter toute compromission. ...

L’article publié par CyberSecurity News met en lumière une vulnérabilité critique dans le logiciel Splunk Universal Forwarder pour Windows, identifiée sous le code CVE-2025-20298 avec un score CVSSv3.1 de 8.0. Cette faille résulte d’une mauvaise attribution des permissions lors de l’installation ou de la mise à jour du logiciel, affectant les versions inférieures à 9.4.2, 9.3.4, 9.2.6, et 9.1.9. Le problème est classé sous CWE-732, indiquant un problème fondamental avec les mécanismes de contrôle d’accès. ...

Selon un article de Bleeping Computer, une attaque significative de la chaîne d’approvisionnement a touché NPM, un gestionnaire de paquets JavaScript largement utilisé. Cet incident a compromis 15 packages populaires de Gluestack, qui totalisent plus de 950 000 téléchargements hebdomadaires. Les packages affectés ont été modifiés pour inclure un code malveillant qui agit comme un trojan d’accès à distance (RAT). Ce type de malware permet aux attaquants de prendre le contrôle à distance des systèmes infectés, posant ainsi un risque majeur pour les utilisateurs et les entreprises qui dépendent de ces packages. ...

Selon un article publié sur Bleeping Computer, une vulnérabilité critique identifiée comme CVE-2025-49113 dans l’application webmail open-source Roundcube est activement exploitée par des hackers. Cette faille permet une exécution de code à distance post-authentification et affecte les versions de Roundcube de la 1.1.0 à la 1.6.10. La vulnérabilité a été présente dans le logiciel pendant plus de dix ans avant d’être corrigée le 1er juin. Cependant, les attaquants ont rapidement réussi à ingénier à rebours le correctif, à armer la vulnérabilité et à commencer à vendre un exploit fonctionnel sur des forums de hackers. ...

Selon une alerte privée de PRODAFT partagée avec BleepingComputer, l’opération de ransomware Qilin a récemment intégré des attaques utilisant deux vulnérabilités Fortinet permettant de contourner l’authentification sur des appareils vulnérables et d’exécuter du code malveillant à distance. Phantom Mantis a lancé une campagne d’intrusion coordonnée ciblant plusieurs organisations entre mai et juin 2025. Cette campagne repose sur l’exploitation de plusieurs vulnérabilités FortiGate, notamment CVE-2024-21762 et CVE-2024-55591. Les vulnérabilités exploitées permettent aux attaquants de contourner les mesures de sécurité sur les appareils Fortinet, facilitant ainsi l’accès non autorisé et l’exécution de code malveillant. Cette méthode d’attaque souligne l’importance de maintenir les systèmes à jour avec les derniers correctifs de sécurité. ...