Banshee: un stealer macOS valide le mot de passe via dscl pour déverrouiller le Trousseau

Contexte: BasĂ© sur un Ă©chantillon rĂ©fĂ©rencĂ© par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 dĂ©cembre 2025 prĂ©sente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisĂ© en MaaS (~3 000 $/mois). ‱ ChaĂźne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquĂ©e, dĂ©lai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps rĂ©el les identifiants avec dscl /Local/Default -authonly (sortie vide = succĂšs), garantissant des credentials fonctionnels. Cette Ă©tape est centrale car le mot de passe permet de dĂ©chiffrer hors ligne le Trousseau macOS. ...

6 dĂ©cembre 2025 Â· 3 min

Calisto (ColdRiver/Star Blizzard) cible RSF via spear‑phishing et kit AiTM visant ProtonMail

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a Ă©tĂ© contactĂ©e par deux organisations — dont Reporters Sans FrontiĂšres (RSF) — au sujet d’une campagne de spear‑phishing attribuĂ©e Ă  l’intrusion set Calisto (ColdRiver/Star Blizzard), rattachĂ© au FSB (TsIB, unitĂ© 64829). Sekoia.io confirme la cohĂ©rence de l’attribution avec les intĂ©rĂȘts stratĂ©giques russes. 🧭 Ciblage et mode opĂ©ratoire. Les campagnes de Calisto visent principalement l’espionnage contre des entitĂ©s occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans piĂšce jointe ou avec un lien PDF inactif pour inciter la victime Ă  demander un renvoi. Le suivi contient soit un lien menant Ă  un redirecteur sur site compromis puis Ă  ProtonDrive (PDF malveillant prĂ©sumĂ©), soit un faux PDF (en rĂ©alitĂ© un ZIP renommĂ© .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing. ...

6 dĂ©cembre 2025 Â· 4 min

Chat Control: le Conseil de l’UE renonce au scan obligatoire des messages chiffrĂ©s, mais impose des mesures de risque

Selon l’article, le Conseil de l’UE a arrĂȘtĂ© sa position sur le rĂšglement « Chat Control » aprĂšs des annĂ©es de dĂ©bats, retirant l’obligation de scanner les messages chiffrĂ©s de bout en bout et affichant un langage fort en faveur du chiffrement. Bonne nouvelle: la partie la plus controversĂ©e — l’obligation de scanner les messages chiffrĂ©s — est retirĂ©e, avec des garanties verbales que le chiffrement ne peut pas ĂȘtre affaibli ou contournĂ© 🔒. ...

6 dĂ©cembre 2025 Â· 2 min

CVE-2025-55182 'React2Shell' : GreyNoise observe une exploitation opportuniste à grande échelle

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis dĂ©crit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnĂ©rabilitĂ© RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents Ă  la mise Ă  jour. ‱ VulnĂ©rabilitĂ© et portĂ©e: l’issue, de sĂ©vĂ©ritĂ© maximale, rĂ©side dans le protocole Flight de RSC et permet une exĂ©cution de code Ă  distance non authentifiĂ©e sur des dĂ©ploiements vulnĂ©rables, avec impact aval sur Next.js. GreyNoise note que les services exposĂ©s sont facilement dĂ©couvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est dĂ©jĂ  en cours. ...

6 dĂ©cembre 2025 Â· 3 min

Intellexa poursuit l’exploitation de zero‑days mobiles via Predator et la chaĂźne zero‑click « Aladdin »

Selon Malwarebytes, s’appuyant sur des documents internes fuitĂ©s, un billet du Google Threat Analysis Group (TAG) et des vĂ©rifications d’Amnesty International, Intellexa — vendeur de spyware mercenaire — continue d’opĂ©rer sa plateforme Predator et de viser de nouvelles cibles malgrĂ© des sanctions amĂ©ricaines et une enquĂȘte en GrĂšce. Des chercheurs dĂ©crivent l’usage continu par Intellexa de zero‑days contre les navigateurs mobiles, avec une liste de 15 zero‑days uniques publiĂ©e par Google TAG. Le modĂšle Ă©conomique repose sur l’achat de failles puis leur « brĂ»lage » une fois patchĂ©es. Les prix Ă©voquĂ©s incluent 100 000 Ă  300 000 $ pour un RCE Chrome avec contournement du sandbox prĂȘt pour un dĂ©ploiement Ă  l’échelle, tandis que le courtier Zerodium a offert plusieurs millions (2019) pour des chaĂźnes zero‑click complĂštes et persistantes sur Android et iOS. ...

6 dĂ©cembre 2025 Â· 3 min

K7 Antivirus: abus de named pipes et escalade de privilùges jusqu’à SYSTEM (CVE-2024-36424)

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnĂ©rabilitĂ© (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accĂšs utilisateur Ă  des privilĂšges SYSTEM, avec rĂ©tro‑ingĂ©nierie et Ă©tude des correctifs. Le chercheur identifie un mĂ©canisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requĂȘtes sont envoyĂ©es pour modifier des clĂ©s de registre en SYSTEM, permettant d’ouvrir les paramĂštres Ă  tous les utilisateurs. Premier impact: dĂ©sactivation de la protection antivirus et possibilitĂ© de whitelister des fichiers en tant qu’utilisateur non privilĂ©giĂ©. ...

6 dĂ©cembre 2025 Â· 3 min

Microsoft corrige CVE-2025-9491: des commandes cachées dans les fichiers LNK exploitées depuis 2017

Selon Next INpact, Microsoft a corrigĂ© en novembre (Patch Tuesday) CVE-2025-9491, un problĂšme liĂ© aux fichiers LNK que l’éditeur ne considĂ©rait pas comme une vulnĂ©rabilitĂ©, bien qu’il ait Ă©tĂ© activement exploitĂ© depuis 2017. đŸ§© Nature de la vulnĂ©rabilitĂ©: les fichiers .LNK permettent jusqu’à 32 000 caractĂšres dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boĂźte de dialogue PropriĂ©tĂ©s. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delĂ  de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intĂ©gralitĂ© de la commande Target, quelle que soit sa longueur. ...

6 dĂ©cembre 2025 Â· 2 min

Panne Cloudflare du 5 dĂ©cembre 2025 liĂ©e Ă  un bug WAF lors d’une mitigation React

Selon Cloudflare (blog), un incident de disponibilitĂ© le 5 dĂ©cembre 2025 a provoquĂ© des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectuĂ© pour protĂ©ger contre la vulnĂ©rabilitĂ© critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touchĂ© entre 08:47 et 09:12 UTC. Les clients impactĂ©s Ă©taient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activĂ©s; presque toutes les requĂȘtes renvoyaient HTTP 500, Ă  l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le rĂ©seau Chine n’a pas Ă©tĂ© impactĂ©. ⏱ ...

6 dĂ©cembre 2025 Â· 2 min

Publication des PoC originaux de React2Shell (CVE-2025-55182) démontrant une RCE

Source: dĂ©pĂŽt public de l’auteur; contexte: la publication intervient aprĂšs la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google. Le dĂ©pĂŽt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de dĂ©veloppement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis Ă  Meta, plus simple et efficace), et 02-meow-rce-poc (PoC hachĂ© et publiĂ© comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale Ă  Meta). ...

6 dĂ©cembre 2025 Â· 2 min

Raspberry Pi lance rpi-image-gen et rpi-sb-provisioner pour des déploiements OS reproductibles et sécurisés

Billet de blog technique signĂ© par William Beasley (mis Ă  jour le 2 dĂ©cembre 2025), prĂ©sentant deux outils de Raspberry Pi — rpi-image-gen et rpi-sb-provisioner — visant Ă  passer du prototype Ă  un systĂšme de production reproductible et sĂ©curisĂ©. ‱ rpi-image-gen: l’outil assemble des images Linux Debian via mmdebstrap en combinant des profils descriptifs, des « image layouts » et des fichiers de configuration YAML. Il privilĂ©gie les binaires prĂ©compilĂ©s pour accĂ©lĂ©rer les builds (quelques minutes) et simplifier la maintenance, tout en permettant des paquets sur mesure (ex. noyau custom en amont). Une fois le systĂšme de fichiers finalisĂ©, Syft gĂ©nĂšre une SBOM pour l’audit de sĂ©curitĂ© et l’alimentation d’outils externes de scan CVE. Les couches dĂ©finissent paquets/commandes et variables (avec validation regex) afin d’éviter les mauvaises configurations. ...

6 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝