International

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche détaillant une vulnérabilité de SCCM intégrée à Entra ID, assignée CVE-2025-59501, avec un correctif publié le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intégrés à Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour réaliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrôle d’autorisation supplémentaire sur l’UPN. Cela permettait d’exécuter des opérations WMI côté SMS Provider « au nom » de n’importe quelle identité AD mappable via l’UPN. ...

Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants. ...

Selon 404 Media, la plateforme d’« erotic roleplay » et de génération d’images SecretDesires.ai a laissé des conteneurs Microsoft Azure Blob non sécurisés exposant près de 1,8 million de fichiers (images et vidéos), avant de couper l’accès après notification par le média. 🔓 Incident et périmètre de l’exposition Des liens vers des images/vidéos étaient accessibles publiquement via des conteneurs Azure non authentifiés, y compris des fichiers XML listant les URLs. Conteneurs concernés: « removed images » (~930 000 images), « faceswap » (~50 000 images) et « live photos » (~220 000 vidéos), pour un total d’environ 1,8 million de fichiers (avec duplications possibles). Après l’alerte envoyée par 404 Media, les fichiers sont devenus inaccessibles. La société (Playhouse Media, CEO: Jack Simmons) n’a pas répondu aux questions. 📦 Nature des données exposées et usages ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon BleepingComputer, Logitech a confirmé avoir subi une fuite de données après une cyberattaque revendiquée par le gang d’extorsion Clop. Le géant suisse des accessoires informatiques Logitech a confirmé un incident de cybersécurité avec exfiltration de données, après avoir été revendiqué par le groupe d’extorsion Clop. L’attaque s’inscrit dans la vague de campagnes Clop visant des instances Oracle E-Business Suite via une faille zero-day en juillet 2025. Faits clés Logitech indique avoir subi une exfiltration de données, sans impact sur : ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...