International

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...

Selon BleepingComputer, une campagne de phishing en cours vise les utilisateurs des gestionnaires de mots de passe LastPass et Bitwarden. Les attaquants diffusent des emails frauduleux qui prétendent que les entreprises ont été piratées. Ces messages poussent les victimes à télécharger une soi‑disant version desktop “plus sécurisée” des gestionnaires de mots de passe. 🎣 Campagne de phishing visant les utilisateurs de LastPass, Bitwarden et 1Password Une campagne de phishing cible actuellement les utilisateurs de LastPass et Bitwarden avec de faux courriels affirmant que les entreprises ont été piratées. Les messages incitent les destinataires à télécharger une prétendue version de bureau « plus sécurisée » du gestionnaire de mots de passe. En réalité, le fichier installe Syncro, un outil de supervision à distance (RMM) utilisé par les prestataires de services managés, que les attaquants détournent pour déployer ScreenConnect, leur permettant de prendre le contrôle des appareils infectés. ...

Selon Cisco Talos (blog), des chercheurs ont publié cinq vulnérabilités touchant des systèmes de contrôle industriel et un routeur IoT, avec des règles Snort disponibles pour détecter les tentatives d’exploitation. Les failles comprennent un déni de service dans OpenPLC (CVE-2025-53476) et quatre vulnérabilités dans le routeur IoT Planet WGR-500: dépassements de pile, injection de commandes OS et format string. Impact potentiel: perturbation d’opérations industrielles, exécution de commandes arbitraires et corruption mémoire ⚠️. ...

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisé TA585 a été identifié et conduit une opération avancée visant à distribuer le malware MonsterV2. Points clés 🚨: Nouveau groupe identifié: TA585 Nature de l’activité: opération avancée Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montée en puissance d’un acteur émergent et la circulation du malware MonsterV2 au sein d’une campagne structurée. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

Contexte: Trustwave SpiderLabs publie une analyse détaillant des menaces ciblant le secteur public via des places de marché du dark web et des canaux chiffrés. Le dark web est devenu un véritable marché noir de la donnée, où s’échangent accès VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics. Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont désormais des cibles privilégiées pour les cybercriminels, du simple courtier d’accès jusqu’aux acteurs soutenus par des États. ...

Pixnapping — nouvelle attaque Android volant les pixels à la souris (Ars Technica, 13 oct. 2025) Une équipe académique a présenté Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres données visibles à l’écran en moins de 30 secondes, même si l’application malveillante n’a aucune permission système. L’attaque a été démontrée sur plusieurs téléphones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel lié au rendu graphique : en exécutant des opérations graphiques sur des coordonnées précises et en mesurant les temps de rendu, l’appli malveillante peut déduire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA). ...

Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothèque Python open source dédiée à l’analyse de malwares et au reverse engineering, accompagnée d’un tutoriel détaillé pour construire un extracteur de configuration du stealer LUMMA. 🛠️ nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le désassemblage et l’analyse, unifiant en un seul socle des capacités auparavant réparties sur plusieurs dépendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implémentations d’algorithmes spécifiques aux malwares. ...

Selon BleepingComputer, FuzzingLabs accuse la startup soutenue par Y Combinator, Gecko Security, d’avoir répliqué ses divulgations de vulnérabilités. ⚔️ FuzzingLabs accuse la startup Gecko Security d’avoir copié ses découvertes de failles Un conflit public a éclaté dans la communauté cybersécurité entre FuzzingLabs et Gecko Security, une startup soutenue par Y Combinator, après que FuzzingLabs a accusé sa concurrente d’avoir copié ses divulgations de vulnérabilités et d’avoir rétrodater ses articles de blog pour s’en attribuer le mérite. ...

Selon GBHackers Security, le marketplace cybercriminel en ligne « Russian Market » a évolué, passant de la vente d’accès RDP à un rôle d’un des hubs les plus actifs pour les logs de malware voleurs d’informations (stealers). Le cybermarché clandestin Russian Market s’est imposé comme l’un des plus actifs pour la vente de logs issus de malwares voleurs d’informations (infostealers). Ce site, autrefois spécialisé dans la revente d’accès RDP compromis, héberge désormais plus de 180 000 journaux exfiltrés contenant des identifiants, cookies et sessions volés sur des machines compromises à travers le monde. ...

Selon Koi Security (billet de recherche), le groupe TigerJack a infiltré des places de marché d’extensions pour développeurs avec au moins 11 extensions malveillantes, diffusées sous plusieurs identités d’éditeur. La campagne a compromis plus de 17 000 développeurs et met en lumière des failles de sécurité dans un écosystème fragmenté où certaines extensions restent opérationnelles malgré leur retrait du marketplace officiel de Microsoft. Le mode opératoire combine plusieurs capacités offensives majeures: ...