Detour Dog détourne des enregistrements DNS TXT pour piloter 30 000 sites compromis et livrer Strela Stealer

Selon Infoblox (blog Threat Intelligence), des chercheurs dĂ©crivent l’acteur « Detour Dog » qui opĂšre depuis fĂ©vrier 2020 un vaste rĂ©seau d’environ 30 000 sites compromis sur 584 TLDs, utilisant des enregistrements DNS TXT comme canal de commande et contrĂŽle (C2). D’abord dĂ©diĂ© aux redirections vers des arnaques, l’opĂ©ration s’est transformĂ©e pour distribuer des malwares, notamment Strela Stealer, via un systĂšme de livraison basĂ© sur le DNS. Les requĂȘtes DNS cĂŽtĂ© serveur, invisibles pour les visiteurs, conditionnent des redirections ou l’exĂ©cution de code distant selon la localisation et le type d’appareil. L’infrastructure s’appuie sur du bulletproof hosting et plusieurs TDS pour la persistance, et se reconstitue en quelques heures aprĂšs perturbation. ...

30 septembre 2025 Â· 3 min

Environ 48 800 pare-feu Cisco ASA et FTD exposés vulnérables à deux failles exploitées

Selon BleepingComputer, environ 48 800 Ă©quipements Cisco Adaptive Security Appliance (ASA) et Firewall Threat Defense (FTD) exposĂ©s sur le web public sont vulnĂ©rables Ă  deux vulnĂ©rabilitĂ©s actuellement exploitĂ©es activement par des attaquants. PrĂšs de 50 000 appliances Cisco ASA et FTD exposĂ©es sur Internet sont vulnĂ©rables Ă  deux failles majeures exploitĂ©es activement : CVE-2025-20333 (dĂ©passement de tampon permettant une exĂ©cution de code Ă  distance aprĂšs authentification) et CVE-2025-20362 (contournement d’authentification, accĂšs non autorisĂ© Ă  des endpoints VPN). L’exploitation combinĂ©e de ces failles autorise une prise de contrĂŽle complĂšte de l’équipement sans authentification prĂ©alable, mettant en danger la confidentialitĂ©, l’intĂ©gritĂ© et la disponibilitĂ© des systĂšmes protĂ©gĂ©s. ...

30 septembre 2025 Â· 2 min

Faux installateurs Teams propagent le backdoor Oyster via malvertising et SEO

Selon GBHackers, des chercheurs en cybersĂ©curitĂ© ont mis au jour une campagne oĂč des acteurs malveillants utilisent des publicitĂ©s frauduleuses et l’empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware backdoor Oyster. Leurre : faux installateurs de Microsoft Teams destinĂ©s aux utilisateurs cherchant un tĂ©lĂ©chargement lĂ©gitime via des moteurs de recherche. MĂ©thodes : publicitĂ©s sponsorisĂ©es et SEO poisoning qui positionnent des liens frauduleux sur des requĂȘtes comme « teams download ». Charge utile : backdoor Oyster, permettant aux attaquants d’obtenir un accĂšs Ă  distance. Des chercheurs en cybersĂ©curitĂ© ont identifiĂ© une campagne sophistiquĂ©e exploitant des publicitĂ©s malveillantes et un empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware de porte dĂ©robĂ©e Oyster (alias Broomstick). Les utilisateurs cherchant Ă  tĂ©lĂ©charger Teams via les moteurs de recherche tombent sur des annonces frauduleuses redirigeant vers des sites usurpant l’apparence des pages officielles, comme teams-install[.]top, qui dĂ©livrent un fichier MSTeamsSetup.exe infectĂ©. ...

30 septembre 2025 Â· 2 min

Faux package npm « postmark-mcp » détourne des emails via BCC en usurpant Postmark

Un acteur malveillant a publiĂ© sur npm un package frauduleux nommĂ© « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mĂ©canisme de BCC cachĂ©. Postmark prĂ©cise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectĂ©s. L’attaquant a d’abord Ă©tabli la confiance en publiant plus de 15 versions du package, puis a introduit une porte dĂ©robĂ©e dans la version 1.0.16 qui ajoutait en BCC les emails Ă  un serveur externe. Cette activitĂ© visait Ă  exfiltrer des contenus d’emails envoyĂ©s par les utilisateurs du package. ...

30 septembre 2025 Â· 2 min

FlipSwitch : une nouvelle technique de rootkit contourne le dispatch des syscalls de Linux 6.9

Source : Elastic Security Labs — Des chercheurs prĂ©sentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mĂ©canisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacĂ© la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette dĂ©fense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), Ă©vitant toute dĂ©pendance Ă  la sys_call_table dĂ©sormais non utilisĂ©e pour le routage effectif. ...

30 septembre 2025 Â· 2 min

Fuite de donnĂ©es: le rĂ©seau crypto A7 d’Ilan Shor, appuyĂ© par des ex-banques russes, sert l’évasion de sanctions et l’ingĂ©rence

Selon reporter.london (en collaboration avec Context.ro), une fuite de donnĂ©es liĂ©e Ă  Anykey LLC expose en dĂ©tail le rĂ©seau crypto et de paiements A7 pilotĂ© par l’homme d’affaires moldave en fuite Ilan Shor, adossĂ© Ă  des cadres issus de grandes banques russes et connectĂ© Ă  des opĂ©rations d’ingĂ©rence. Le Financial Times avait prĂ©cĂ©demment estimĂ© Ă  9 milliards de dollars les transactions du stablecoin A7A5 dans les quatre premiers mois. ‱ Acteurs et infrastructure clĂ©s 🔧 Les documents internes mentionnent des ex-chefs de dĂ©partement de Sberbank, Vnesheconombank (VEB) et Russian Standard comme cadres d’A7. A7 a Ă©tĂ© lancĂ© avec la banque de dĂ©fense russe Promsvyazbank (PSB) et inclut le stablecoin adossĂ© au rouble A7A5. Le 3 septembre, Vladimir Poutine a inaugurĂ© Ă  Vladivostok le nouveau centre international de traitement des paiements d’A7 aux cĂŽtĂ©s d’Ilan Shor et du prĂ©sident de PSB, Pyotr Fradkov. La fuite, attribuĂ©e Ă  la sociĂ©tĂ© IT moscovite Anykey LLC, validĂ©e par l’agence moldave IPN, montre aussi un Ă©cosystĂšme d’environ 500 personnes reliant A7, l’ONG Evraziya, et des brokers financiers au Kirghizstan. ...

30 septembre 2025 Â· 3 min

Intrusion de 2 mois attribuĂ©e Ă  LUNAR SPIDER: chaĂźne Latrodectus → Brute Ratel → Cobalt Strike et exfiltration via rclone

Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, dĂ©marrĂ© par l’exĂ©cution d’un JavaScript Latrodectus 1.3 dĂ©guisĂ© en formulaire fiscal W‑9, menant au dĂ©ploiement de Brute Ratel puis Cobalt Strike, et Ă  une prĂ©sence quasi continue durant prĂšs de deux mois. ‱ ChaĂźne d’intrusion: un JS fortement obfusquĂ© tĂ©lĂ©charge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et Ă©tablit des C2 (souvent derriĂšre Cloudflare). Le stealer Latrodectus est rĂ©cupĂ©rĂ©, puis, ~1 h aprĂšs l’accĂšs initial, dĂ©but de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h aprĂšs, mise en place d’un BackConnect/VNC opĂ©rationnel pour navigation, dĂ©pĂŽts d’outils et contrĂŽle Ă  distance. ...

30 septembre 2025 Â· 3 min

iOS: vulnĂ©rabilitĂ© UAF dans CoreMedia/MediaToolbox menant Ă  l’exĂ©cution de code dans mediaplaybackd (exploitation avant iOS 17.2)

Source: GitHub (b1n4r1b01). Contexte: billet technique dĂ©crivant une vulnĂ©rabilitĂ© CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-systĂšme Remaker de MediaToolbox.framework, due Ă  une mauvaise gestion de l’objet FigRemakerTrack conduisant Ă  un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID Ă©choue et le flux de contrĂŽle emprunte un chemin « buggy » oĂč FigRemakerTrack est libĂ©rĂ© alors que FigRemaker conserve une rĂ©fĂ©rence, ouvrant la voie Ă  une exĂ©cution de code dans le processus mediaplaybackd. La vulnĂ©rabilitĂ© est Ă©voquĂ©e dans le cadre des correctifs d’iOS 18.3, parmi les CVE liĂ©s Ă  CoreMedia, comme unique cas UAF dans ce lot. ...

30 septembre 2025 Â· 2 min

Klopatra : un trojan bancaire Android sophistiquĂ© protĂ©gĂ© par Virbox cible l’Espagne et l’Italie

Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommĂ© Klopatra, dotĂ© de capacitĂ©s de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblĂ© principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes. Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’AccessibilitĂ© Android pour obtenir un contrĂŽle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exĂ©cute des transactions frauduleuses en temps rĂ©el. ...

30 septembre 2025 Â· 3 min

Mandiant rĂ©vĂšle UNC6040 : vishing et abus d’apps OAuth pour exfiltrer des donnĂ©es Salesforce

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publiĂ© le 30 septembre, un acteur financier baptisĂ© UNC6040 mĂšne des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de donnĂ©es et l’extorsion. ChaĂźne d’attaque dĂ©crite: (1) Usurpation du support IT pour pousser les employĂ©s Ă  autoriser des apps connectĂ©es falsifiĂ©es, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immĂ©diate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latĂ©ral vers Okta/Microsoft 365. L’infrastructure observĂ©e inclut l’usage de Mullvad VPN. ...

30 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝