Global

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique détaillant, avec exemples et IOCs, l’essor de la technique d’ingénierie sociale « ClickFix » observée depuis 2024. • ClickFix insère une étape d’« interaction humaine » dans la chaîne d’attaque via des pages d’atterrissage qui miment des vérifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exécutent elles‑mêmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrées incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifié). Beaucoup d’exécutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

Source et contexte: Recherche publiée par Marek Tóth (présentée à DEF CON 33), initialement le 9 août 2025 et mise à jour le 20 août 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectées par des extensions de navigateur. La recherche décrit une nouvelle technique générale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les éléments d’UI injectés par les extensions dans le DOM, tout en restant cliquables. Testée sur 11 gestionnaires de mots de passe, la méthode a montré que tous étaient vulnérables à ce type d’attaque (et certains aussi à la variante IFRAME via web_accessible_resources mal configurés). ...

Selon ravenmail.io (14 août 2025), des acteurs malveillants mènent une campagne de credential phishing en détournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sécurité légitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps réel. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrôles centrés sur le domaine visible, créant un biais de confiance et un contournement des détections. Ils profitent aussi d’un délai de classification des nouvelles menaces pour opérer avant que les destinations ne soient signalées. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

Selon Darknet.org.uk, Google a publié Veles, un outil open source et léger de détection de secrets ciblant les identifiants GCP, désormais intégré à OSV-SCALIBR et deps.dev. L’outil Veles vise la détection d’identifiants GCP (secrets/credentials) et est présenté comme léger et open source. Il est intégré avec OSV-SCALIBR et deps.dev, ce qui l’inscrit dans l’écosystème de sécurité et d’analyse de dépendances de Google/OSV. Type d’article: annonce d’un nouvel outil de sécurité dont le but principal est la détection de secrets liés à GCP. ...

Selon BleepingComputer, le géant des ressources humaines Workday a annoncé une fuite de données liée à un accès non autorisé à une plateforme de gestion de la relation client (CRM) tierce, obtenu via une récente attaque d’ingénierie sociale. Les faits rapportés indiquent une intrusion via un fournisseur tiers: des attaquants ont accédé à une plateforme CRM utilisée par Workday à la suite d’une attaque d’ingénierie sociale. Points clés: Nature de l’incident: fuite/violation de données 📣 Vecteur: plateforme CRM tierce 🧩 Méthode: ingénierie sociale 🎭 Acteur impacté: Workday (prestataire RH) Aucun autre détail sur l’étendue des données ou le nombre de clients affectés n’est fourni dans l’extrait. ...

Selon KrebsOnSecurity, des groupes cybercriminels ont délaissé le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquées, afin de mener des opérations de manipulation boursière « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaîne d’attaque démarre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite à acheter massivement des actions ciblées (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours. 🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques. 🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports). ...

Source: Knostic.ai — Des chercheurs en sécurité rapportent une vulnérabilité reproductible dans GPT-5 causant une contamination de contexte inter‑session lors de scénarios d’erreurs de longueur de message suivies d’un appui sur « Retry ». — Résumé factuel — Nature du problème: vulnérabilité de gestion d’erreurs et de session entraînant une contamination de contexte cross‑session. Conditions: prompts surdimensionnés provoquant des erreurs de type message_length_exceeds_limit, puis action Retry. Impact observé: génération de réponses issues de conversations non liées. Aucune exposition de données sensibles confirmée, mais risque de confiance et de confidentialité élevé, notamment pour des environnements entreprise et réglementés. — Détails techniques — ...