International

Selon Billboard, le groupe d’activistes du piratage Anna’s Archive affirme avoir réalisé un scraping à grande échelle de la plateforme Spotify, récupérant 86 millions de fichiers audio et 256 millions de lignes de métadonnées, avant de publier environ 300 To de données sous forme de fichiers torrent. 🎵🧲 Les éléments clés rapportés sont: Volume et nature des données: 86 millions de pistes audio et un vaste ensemble de métadonnées (256 M de lignes). Mode d’exfiltration/diffusion: publication des données en environ 300 To de torrents. Points techniques et méthodes observées: ...

Source: EmEditor (emeditor.com) — Le 22 décembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifié la redirection du bouton « Download Now » sur le site officiel, pouvant délivrer un installeur non légitime entre le 19 déc. 2025 18:39 et le 22 déc. 2025 12:50 (heure du Pacifique). L’URL de téléchargement légitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a été altérée pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas été créé par Emurasoft, Inc. et a été retiré. Le MSI potentiellement frauduleux porte une signature numérique « WALSHAM INVESTMENTS LIMITED ». Le problème pourrait toucher aussi des pages d’autres langues (dont le japonais). ...

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️ ...

Selon Hackaday, libxml2 — une bibliothèque centrale pour le traitement XML/XSLT utilisée dans GNOME, des navigateurs web et de nombreux logiciels — a brièvement perdu son unique mainteneur après le départ programmé de Nick Wellnhofer, avant que deux nouveaux développeurs ne reprennent le projet. L’article retrace l’historique : au début des années 2000, l’auteur original Daniel Veillard passe la main à Nick Wellnhofer. Tous deux agissent comme bénévoles, avec pour tout soutien notable un don de Google, tandis que de grandes entreprises intègrent la bibliothèque et envoient des rapports de bugs. ...

Selon BleepingComputer, plusieurs utilisateurs de l’extension Chrome Trust Wallet signalent que leurs portefeuilles de cryptomonnaies ont été vidés après l’installation d’une mise à jour compromise publiée le 24 décembre, déclenchant une réponse urgente de l’éditeur et des avertissements aux personnes affectées. Les faits rapportés indiquent que l’attaque touche l’extension Chrome Trust Wallet, dont une version compromise a été diffusée via une mise à jour. Suite à son installation, des victimes ont constaté le drainage de fonds de leurs portefeuilles. ...

Selon BleepingComputer, un domaine typosquatté usurpant l’outil Microsoft Activation Scripts (MAS) a servi à propager des scripts PowerShell malveillants qui installent le chargeur Cosmali sur des systèmes Windows. Faits essentiels: Type d’attaque: typosquatting et usurpation d’outil légitime (MAS) 🪪 Vecteur/chaîne d’infection: scripts PowerShell malveillants exécutés depuis le faux site 🧩 Cible/impact: systèmes Windows infectés par Cosmali Loader (malware/loader) 🐛 Une campagne de typosquatting ciblant les utilisateurs de Microsoft Activation Scripts (MAS) a été utilisée pour diffuser un malware nommé Cosmali Loader via des scripts PowerShell malveillants. ...

Selon Interpol, l’initiative coordonnée « Opération Sentinel » menée entre le 27 octobre et le 27 novembre, avec la participation de 19 pays, a visé des affaires de compromission de courriels professionnels (BEC), d’extorsion et de ransomware. 🚔 Résultats clés: 574 arrestations et 3 millions de dollars récupérés. 🌐 Disruption: plus de 6 000 liens malveillants démantelés. 🔐 Ransomware: six variantes distinctes déchiffrées. 💰 Impact financier: des cas liés à plus de 21 millions de dollars de pertes. Interpol met en avant plusieurs succès majeurs obtenus durant l’opération : ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...