Des kits de phishing ciblent des comptes de courtage pour des opérations de « ramp and dump »

Selon KrebsOnSecurity, des groupes cybercriminels ont dĂ©laissĂ© le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquĂ©es, afin de mener des opĂ©rations de manipulation boursiĂšre « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaĂźne d’attaque dĂ©marre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite Ă  acheter massivement des actions ciblĂ©es (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

17 aoĂ»t 2025 Â· 2 min

Forte recrudescence d’arnaques liĂ©es Ă  Microsoft : verrouillage de clavier, fingerprinting agressif et relais MFA

Selon Pixm Security, la premiĂšre moitiĂ© d’aoĂ»t a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variĂ©es et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et Ă  d’autres procĂ©dĂ©s destinĂ©s Ă  pousser les victimes Ă  appeler des centres d’appels ciblĂ©s ☎. Au-delĂ  du support scam, d’autres attaques de phishing Microsoft ont utilisĂ© un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’évĂ©nements et des fichiers PDF 📄. ...

17 aoĂ»t 2025 Â· 1 min

Huntress documente un incident KawaLocker (KAWA4096) stoppé avant une propagation majeure

Huntress — Le fournisseur a publiĂ© un rapport dĂ©crivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a Ă©tĂ© dĂ©tectĂ©e et contenue avant un impact organisationnel Ă©tendu. Le scĂ©nario dĂ©bute par une compromission RDP via un compte compromis. Les attaquants dĂ©ploient des utilitaires pour dĂ©sactiver les outils de sĂ©curitĂ© (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une Ă©numĂ©ration rĂ©seau est menĂ©e avec advancedportscanner.exe, suivie de tentatives de mouvement latĂ©ral via PsExec. ...

17 aoĂ»t 2025 Â· 2 min

Pall Mall Process : encadrer la prolifĂ©ration des capacitĂ©s d’intrusion commerciales

Source et contexte: RISCS (Research Institute for Sociotechnical Cyber Security) publie une analyse d’Andrew Dwyer sur la deuxiĂšme confĂ©rence du Pall Mall Process (Paris, avril 2025), initiative lancĂ©e en 2024 par le Royaume‑Uni et la France pour freiner la prolifĂ©ration et l’usage irresponsable des capacitĂ©s d’intrusion commerciales (CCICs). Le texte rappelle que les CCICs (de la dĂ©couverte de zero-days Ă  la vente d’outils et services) alimentent Ă  la fois des usages lĂ©gitimes et illĂ©gitimes. Si l’attention mĂ©diatique s’est concentrĂ©e sur le spyware (ex. Pegasus/NSO Group), l’écosystĂšme est plus large et rend les interdictions totales irrĂ©alistes, d’autant que de nombreux États n’ont pas de capacitĂ©s « in‑house ». ...

17 aoĂ»t 2025 Â· 2 min

Patch Tuesday OT/ICS d’aoĂ»t 2025 : correctifs critiques chez Siemens, Schneider, Honeywell, ABB, Aveva et Phoenix Contact

SecurityWeek publie un rĂ©capitulatif des avis Patch Tuesday d’aoĂ»t 2025 pour l’ICS/OT, avec des correctifs et mitigations Ă©mis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou Ă  haute sĂ©vĂ©ritĂ©, exposant Ă  l’exĂ©cution de code, Ă  l’accĂšs non autorisĂ©, Ă  la fuite de donnĂ©es et aux DoS. ‱ Siemens a publiĂ© 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifiĂ© pour une exĂ©cution de code avec privilĂšges SystĂšme ⚠. Des failles Ă  haute sĂ©vĂ©ritĂ© touchent aussi Comos (exĂ©cution de code), Siemens Engineering Platforms (exĂ©cution de code), Simcenter (crash ou exĂ©cution de code), Sinumerik (accĂšs distant non autorisĂ©), Ruggedcom (contournement d’authentification avec accĂšs physique), Simatic (exĂ©cution de code), Siprotect (DoS) et Opcenter Quality (accĂšs non autorisĂ©). Des vulnĂ©rabilitĂ©s issues de composants tiers sont Ă©galement traitĂ©es (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problĂšmes de sĂ©vĂ©ritĂ© moyenne/faible sont rĂ©solus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q. ...

17 aoĂ»t 2025 Â· 3 min

Pentest: absence de MFA et fĂ©dĂ©ration d'identitĂ© mal conçue ouvrent l’accĂšs Ă  l’AD et aux donnĂ©es clients

Source: Lares (blog) — Dans une Ă©tude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accĂšs non autorisĂ© Ă  des systĂšmes internes et Ă  des donnĂ©es sensibles. Les testeurs ont exploitĂ© un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. AprĂšs une authentification rĂ©ussie via Microsoft Online Services, l’utilisateur Ă©tait redirigĂ© vers des systĂšmes CRM internes. ...

17 aoĂ»t 2025 Â· 2 min

Plague : un backdoor Linux se fait passer pour un module PAM pour contourner l'authentification SSH

Selon PolySwarm, des chercheurs ont analysĂ© ‘Plague’, un backdoor Linux sophistiquĂ© qui s’intĂšgre au flux d’authentification en se faisant passer pour un module PAM lĂ©gitime, afin de fournir un accĂšs SSH persistant et un contournement de l’authentification. L’échantillon se prĂ©sente comme libselinux.so.8 et persiste discrĂštement avec trĂšs peu de traces forensiques tout en survivant aux mises Ă  jour systĂšme. Le malware exploite des mots de passe statiques pour une entrĂ©e clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacitĂ©s de furtivitĂ© comme la dĂ©sactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

17 aoĂ»t 2025 Â· 2 min

PoC partiel publiĂ© pour une faille de contournement d’authentification sur FortiWeb (WAF) de Fortinet

Selon BleepingComputer, un chercheur en sĂ©curitĂ© a mis en ligne un proof-of-concept (PoC) partiel pour une vulnĂ©rabilitĂ© affectant le pare-feu applicatif web FortiWeb de Fortinet, permettant Ă  un attaquant distant de contourner l’authentification. Nature de la faille: bypass d’authentification. Impact: accĂšs non autorisĂ© Ă  distance potentiel sur des instances FortiWeb. DegrĂ© de publication: PoC partiel (preuve de concept), dĂ©montrant la faisabilitĂ© de l’exploitation. Le produit concernĂ© est le WAF FortiWeb. L’information se concentre sur l’existence du PoC et l’impact possible du contournement d’authentification, sans autres dĂ©tails publics dans l’extrait. ...

17 aoĂ»t 2025 Â· 1 min

Sanctum : un EDR open source en Rust pour Windows, plan et choix techniques dévoilés

Source: fluxsec.red — Publication dĂ©crivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. đŸ›Ąïž Sanctum est un EDR expĂ©rimental open source visant Ă  dĂ©tecter des techniques de malware modernes, au‑delĂ  des capacitĂ©s d’un antivirus (AV). Le projet ambitionne de couvrir Ă  la fois les rĂŽles d’AV et d’EDR, et se prĂ©sente comme une preuve de concept destinĂ©e Ă  documenter l’apprentissage et la progression de l’auteur. ...

17 aoĂ»t 2025 Â· 2 min

Scattered Spider : Flashpoint dresse le profil d’une menace axĂ©e sur l’ingĂ©nierie sociale et la double extorsion

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composĂ© de jeunes adultes US/UK qui s’impose par des campagnes sophistiquĂ©es d’ingĂ©nierie sociale et des opĂ©rations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menĂ©es par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaĂźne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accĂšs initial, suivi de collecte d’identifiants Ă  l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM lĂ©gitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latĂ©raux, et dĂ©ploient des malwares personnalisĂ©s tels que Spectre RAT đŸ•·ïž, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

17 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 10 juillet 2026 📝