Global

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

Cet article de Unit42 de Palo Alto Networks met en lumière comment les attaquants exploitent les attaques homographes pour contourner les filtres de sécurité des emails et tromper les destinataires. Ces attaques utilisent des caractères Unicode visuellement similaires provenant de différents scripts pour remplacer les caractères latins, rendant difficile la détection par les systèmes de sécurité. L’analyse présente trois cas concrets impliquant l’usurpation de services financiers, de plateformes de partage de documents et de Spotify. Les attaquants combinent la manipulation homographe avec des techniques de social engineering pour éviter les systèmes de détection et inciter les utilisateurs à divulguer leurs identifiants. ...

UpGuard a découvert une base de données Elasticsearch non sécurisée contenant environ 22 millions de requêtes web. Ces requêtes incluent des informations telles que le domaine de destination, l’adresse IP de l’utilisateur et des métadonnées comme la localisation et le fournisseur d’accès Internet. 95% de ces requêtes étaient dirigées vers leakzone.net, un forum actif dans le partage de matériels cyber illicites comme des outils de hacking et des comptes compromis. ...

L’article publié par Emerging Technology Security aborde les implications de sécurité du développement logiciel assisté par l’IA, en particulier le ‘vibe coding’ avec des modèles de langage (LLMs). Feross Aboukhadijeh, PDG de Socket, et Joel de la Garza, partenaire chez a16z, discutent des défis de sécurité posés par ces outils qui, bien qu’ils augmentent la productivité des développeurs, introduisent des risques tels que les dépendances tierces compromises et des pratiques de révision de code inadéquates. ...

L’article de iverify.io met en lumière l’émergence de nouvelles plateformes de malware-as-a-service (MaaS), telles que PhantomOS et Nebula, qui permettent aux cybercriminels de cibler facilement les appareils Android sans compétences techniques. Ces plateformes offrent des kits de malware prêts à l’emploi pour environ 300 dollars par mois, comprenant des fonctionnalités avancées comme l’interception de la 2FA, le contournement des logiciels antivirus, l’installation silencieuse d’applications, le suivi GPS, et des superpositions de phishing spécifiques à des marques. Les utilisateurs de ces plateformes bénéficient d’un support via Telegram, d’une infrastructure backend, et de méthodes intégrées pour contourner Google Play Protect. ...

Selon un article publié par Bleeping Computer, un hacker a réussi à intégrer un code destructeur de données dans une version de l’assistant génératif d’Amazon, connu sous le nom de Q Developer Extension pour Visual Studio Code. Cette attaque vise à compromettre les développeurs utilisant cette extension en insérant un code malveillant capable de supprimer des données. L’extension affectée est utilisée dans l’environnement de développement Visual Studio Code, ce qui pourrait avoir des conséquences significatives pour les développeurs qui l’utilisent. ...

Cet article publié par The Zero Day Initiative (ZDI) met en lumière des vulnérabilités critiques dans le logiciel Cisco Identity Services Engine (ISE) qui permettent une exécution de code à distance sans authentification préalable. Les chercheurs en sécurité ont identifié des failles de désérialisation et des faiblesses d’injection de commandes dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. Ces vulnérabilités peuvent être exploitées pour compromettre entièrement le système. L’exploitation nécessite de contourner les limitations de tokenisation de Java et d’échapper d’un conteneur Docker privilégié pour obtenir un accès root sur le système hôte. Les attaquants peuvent manipuler les cgroups Linux et exécuter des commandes sur le serveur ISE hôte. ...

L’analyse publiée par Imperva met en lumière l’impact des opérations militaires sur l’activité cybercriminelle. Lors de l’opération Rising Lion menée par Israël, une augmentation de 172% du trafic web a été observée, accompagnée d’une hausse de 63% des attaques WAAP et d’une intensité accrue des attaques DDoS de plus de 1,300%. Les attaques se sont principalement concentrées sur les sites gouvernementaux, financiers et de défense, démontrant l’interconnexion entre les conflits cinétiques et les cyberattaques. Les menaces WAAP ont augmenté de 320% au-dessus de la normale, tandis que les attaques DDoS de niveau 7 ont enregistré une croissance de 54% avec des taux de requêtes par seconde en hausse de 1,336%. ...

L’actualité provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquée nommée Fire Ant. Cette campagne cible spécifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour échapper à la détection et maintenir un accès persistant. La campagne a exploité la vulnérabilité CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accéder à ESXi. Des portes dérobées persistantes ont été déployées via des VIBs non signés et des fichiers local.sh modifiés. De plus, la vulnérabilité CVE-2023-20867 a été utilisée pour exécuter des commandes non authentifiées de l’hôte vers l’invité. ...

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes. ...