Une faille de clickjacking expose les gestionnaires de mots de passe via leurs extensions

Selon Malwarebytes, le chercheur Marek TĂłth a prĂ©sentĂ© Ă  DEFCON une attaque de clickjacking ciblant la majoritĂ© des gestionnaires de mots de passe basĂ©s sur des extensions (notamment 1Password, LastPass, NordPass, Enpass). L’attaque manipule la page pour tromper l’utilisateur et amener l’extension Ă  renseigner des donnĂ©es sensibles sans qu’il s’en aperçoive. L’attaque repose sur la manipulation du DOM pour rendre invisible le sĂ©lecteur dĂ©roulant de l’extension du gestionnaire et placer un calque (overlay) invisible au-dessus d’un Ă©lĂ©ment apparemment lĂ©gitime. En cliquant, l’utilisateur actionne en rĂ©alitĂ© le sĂ©lecteur de l’extension, qui remplit et rĂ©vĂšle les secrets. TTPs observĂ©es: ...

27 aoĂ»t 2025 Â· 2 min

Zero‑day activement exploitĂ© dans FreePBX lorsque l’ACP est exposĂ© sur Internet

Selon BleepingComputer, le Sangoma FreePBX Security Team alerte sur une vulnĂ©rabilitĂ© zero‑day actuellement exploitĂ©e activement contre des instances FreePBX. ⚠ L’alerte prĂ©cise que les systĂšmes concernĂ©s sont ceux dont l’Administrator Control Panel (ACP) est exposĂ© Ă  Internet. Les environnements oĂč l’ACP n’est pas publiquement accessible ne sont pas explicitement mentionnĂ©s comme impactĂ©s dans cet extrait. L’information met l’accent sur la nature zero‑day de la faille (pas de correctif public au moment de l’alerte) et sur l’activitĂ© d’exploitation en cours, ce qui en accroĂźt la criticitĂ© pour les dĂ©ploiements concernĂ©s. 🚹 ...

27 aoĂ»t 2025 Â· 1 min

Anatsa (TeaBot) se renforce : nouvelles campagnes via Google Play ciblant 831 apps financiĂšres

Source : Zscaler ThreatLabz (blog, 21 aoĂ»t 2025). Le billet analyse les derniĂšres Ă©volutions du trojan bancaire Android Anatsa/TeaBot, ses chaĂźnes de distribution via Google Play, ses capacitĂ©s d’évasion et les indicateurs techniques associĂ©s. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes rĂ©centes Ă©tendent la cible Ă  plus de 831 institutions financiĂšres dans le monde, ajoutant notamment l’Allemagne et la CorĂ©e du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dĂ©passĂ© 50 000 installations. ...

26 aoĂ»t 2025 Â· 3 min

DSLRoot : proxies rĂ©sidentiels et la menace des “botnets lĂ©gaux”

Selon KrebsOnSecurity, une enquĂȘte retrace l’historique, l’infrastructure et les pratiques du service de proxies rĂ©sidentiels DSLRoot, aprĂšs un dĂ©bat lancĂ© sur Reddit par un membre de l’Air National Guard qui hĂ©bergeait des Ă©quipements DSLRoot chez lui contre rĂ©munĂ©ration. ‱ Contexte et modĂšle Ă©conomique. DSLRoot, commercialisĂ© aussi sous « GlobalSolutions » (Bahamas, 2012), paie des rĂ©sidents amĂ©ricains pour hĂ©berger du matĂ©riel (PC, appareils 5G) et revend l’accĂšs Ă  leurs adresses IP comme proxies dĂ©diĂ©s (environ 190 $/mois pour un accĂšs illimitĂ©). L’entreprise parle de « regional agents » et affirme interdire les usages illĂ©gaux. Le fil Reddit dĂ©crit deux laptops reliĂ©s Ă  un modem DSL distinct, exĂ©cutant une application personnalisĂ©e qui ouvre des cmd et « fait des connexions ». đŸš© ...

26 aoĂ»t 2025 Â· 4 min

Android : des droppers contournent le Pilot Program de Play Protect pour livrer des malwares

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui tĂ©lĂ©chargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’AccessibilitĂ©, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program rĂ©gional) bloque de plus en plus d’apps Ă  risque. ...

25 aoĂ»t 2025 Â· 3 min

Détecter des comportements suspects de contributeurs open source (cas XZ Utils/JiaT75) via OSINT et graphes

Selon un papier de recherche soumis Ă  l’IEEE par Ruby Nealon, l’attaque XZ Utils (backdoor visant les processus sshd via la bibliothĂšque liblzma chargĂ©e indirectement par systemd) a mis en lumiĂšre la persona « JiaT75 », qui a bĂąti la confiance pendant prĂšs de deux ans avant d’auto-fusionner une version piĂ©gĂ©e. L’étude montre qu’il est possible d’identifier, Ă  partir de donnĂ©es publiques GitHub et Git, des signaux d’anomalies comportementales associĂ©s Ă  de telles opĂ©rations de social engineering dans l’open source. ...

25 aoĂ»t 2025 Â· 3 min

Lazarus soupçonnĂ© d’avoir piratĂ© Lykke: 17 MÂŁ de crypto volĂ©s et l’exchange liquidĂ© (attribution)

Selon The Telegraph (telegraph.co.uk, 17/08/2025), des hackers nord-corĂ©ens sont accusĂ©s d’un vol d’environ 17 MÂŁ en cryptomonnaies chez Lykke, un exchange enregistrĂ© au Royaume‑Uni mais opĂ©rĂ© depuis la Suisse, un incident qui a prĂ©cĂ©dĂ© l’arrĂȘt des opĂ©rations puis la liquidation de l’entreprise. — Les faits et l’impact: Lykke a dĂ©clarĂ© avoir perdu 22,8 M$ (≈16,8 MÂŁ) en Bitcoin, Ethereum et autres cryptos, arrĂȘtant ensuite le trading et fermant officiellement en dĂ©cembre. En mars, un juge a ordonnĂ© la liquidation aprĂšs une action de plus de 70 clients affirmant avoir perdu 5,7 MÂŁ. L’entitĂ© suisse parente a aussi Ă©tĂ© mise en liquidation. 💾 ...

25 aoĂ»t 2025 Â· 2 min

Microsoft limite l’envoi depuis les domaines onmicrosoft.com à 100 destinataires externes/jour

Source: Microsoft Community Hub (techcommunity.microsoft.com) — Microsoft annonce que les clients Exchange Online utilisant un domaine MOERA (onmicrosoft.com) pour envoyer des emails doivent migrer vers des domaines personnalisĂ©s, et introduit une limitation d’envoi pour rĂ©duire les abus et amĂ©liorer la rĂ©putation/dĂ©livrabilitĂ© des emails. 📧 Contexte et raison: Les domaines par dĂ©faut MOERA (par ex. contoso.onmicrosoft.com) servent au dĂ©marrage/test des locataires mais ne reflĂštent pas l’identitĂ© de marque et offrent un contrĂŽle limitĂ©. Parce que ces domaines sont partagĂ©s, leur rĂ©putation est collective et dĂ©gradĂ©e par des abus (envois de spam depuis de nouveaux tenants avant intervention), impactant les usages lĂ©gitimes. ...

25 aoĂ»t 2025 Â· 3 min

Phishing Gmail avec injection de prompt pour contourner les défenses IA

Source: malwr-analysis.com (24–25 aoĂ»t 2025). Contexte: un chercheur dĂ©crit une Ă©volution d’une chaĂźne de phishing Gmail oĂč les attaquants ciblent Ă  la fois les utilisateurs et les dĂ©fenses automatisĂ©es, en insĂ©rant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaĂźne de livraison 🚹: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyĂ© via SendGrid avec SPF/DKIM OK mais DMARC en Ă©chec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scĂšne, puis bascule vers un domaine attaquant avec captcha (empĂȘchant crawlers/sandboxes) avant la page principale de phishing brandĂ©e Gmail. Le kit effectue une requĂȘte GeoIP pour profiler l’utilisateur et un beacon tĂ©lĂ©mĂ©trique pour distinguer humains et bots. ...

25 aoĂ»t 2025 Â· 3 min

APT36 exploite des fichiers .desktop Linux pour charger des malwares contre des cibles indiennes

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mĂšne de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de dĂ©fense en Inde. Points clĂ©s: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entitĂ©s de gouvernement et de dĂ©fense en Inde 🎯 Nature: cyberespionnage TTPs observĂ©s: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portĂ©e: ...

24 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 10 juillet 2026 📝