Fermeture de LeakBase : des enquĂȘteurs pointent une rĂ©alitĂ© plus large de la cybercriminalitĂ©

Selon The Cyber Express, des enquĂȘteurs indiquent que la fermeture de LeakBase met en Ă©vidence une rĂ©alitĂ© plus large de la cybercriminalitĂ©. DĂ©mantĂšlement de LeakBase : opĂ©ration internationale contre un marchĂ© de donnĂ©es volĂ©es Contexte Une opĂ©ration internationale coordonnĂ©e par Europol a permis de dĂ©manteler LeakBase, un important forum cybercriminel utilisĂ© pour vendre et Ă©changer des donnĂ©es volĂ©es. La plateforme comptait : plus de 142 000 utilisateurs enregistrĂ©s des milliers d’annonces proposant des bases de donnĂ©es compromises et identifiants volĂ©s Les actions judiciaires ont Ă©tĂ© menĂ©es entre le 3 et le 4 mars 2026 contre : ...

5 mars 2026 Â· 2 min

LastPass alerte sur une campagne de phishing usurpant des fils d’e-mails et un faux SSO; aucun impact sur ses systùmes

Selon le blog officiel de LastPass (05/03/2026), l’équipe Threat Intelligence, Mitigation, and Escalation (TIME) alerte ses clients d’une campagne de phishing active dĂ©butĂ©e autour du 1er mars 2026, sans impact sur les systĂšmes LastPass. 🎣 Le cƓur de l’attaque repose sur des fils d’e-mails factices qui simulent des Ă©changes internes sur des actions non autorisĂ©es (export de coffre, rĂ©cupĂ©ration de compte, enregistrement de nouvel appareil, etc.). Les attaquants utilisent la spoofing du display name pour faire apparaĂźtre “LastPass” comme expĂ©diteur, en pariant sur le fait que de nombreux clients mail (notamment mobiles) n’affichent que le nom et masquent l’adresse rĂ©elle. ...

5 mars 2026 Â· 3 min

Microsoft alerte sur l’abus des redirections OAuth pour du phishing et la livraison de malware

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) dĂ©crit des campagnes de phishing exploitant le mĂ©canisme standard de redirection d’OAuth afin de contourner les dĂ©fenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. RĂ©sumĂ© de la technique: Des applications OAuth malveillantes, créées dans des tenants contrĂŽlĂ©s par l’attaquant, dĂ©clarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intĂšgrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un Ă©chec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramĂštre state est dĂ©tournĂ© pour transporter l’email de la victime (en clair, hex, Base64, schĂ©mas custom), et des cadres de phishing tels qu’EvilProxy sont utilisĂ©s aprĂšs redirection. Les leurres incluent e-signatures, sĂ©curitĂ© sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

5 mars 2026 Â· 3 min

Microsoft dévoile Tycoon2FA, un kit de phishing AiTM à grande échelle contournant la MFA

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opĂ©rĂ© par l’acteur Storm‑1747, apparu en aoĂ»t 2023 et utilisĂ© dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. ‱ PortĂ©e et capacitĂ©s: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accĂšs mĂȘme aprĂšs un reset de mot de passe si les sessions/tokens ne sont pas rĂ©voquĂ©s. ...

5 mars 2026 Â· 4 min

Vulnérabilité critique dans FreeScout : exécution de code à distance sans authentification

Selon la source citĂ©e, une vulnĂ©rabilitĂ© de sĂ©vĂ©ritĂ© maximale affecte la plateforme d’assistance FreeScout, permettant une exĂ©cution de code Ă  distance (RCE) sans aucune interaction utilisateur ni authentification. ⚠ Points clĂ©s rĂ©sumĂ©s : Produit concernĂ© : FreeScout (plateforme helpdesk) Type de vulnĂ©rabilitĂ© : RCE de sĂ©vĂ©ritĂ© maximale Impact : prise de contrĂŽle Ă  distance potentielle Conditions d’exploitation : aucune interaction, aucune authentification requise IOCs et TTPs : IOCs : non fournis dans l’extrait TTPs : exploitation d’une RCE sans interaction et sans authentification Il s’agit d’un article d’information sur une vulnĂ©rabilitĂ©, visant Ă  signaler l’existence et la gravitĂ© du problĂšme. ...

5 mars 2026 Â· 1 min

DoppelgĂ€nger / RRN : une infrastructure de dĂ©sinformation rĂ©siliente et industrialisĂ©e (2022–2026)

Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse dĂ©taillĂ©e (04/03/2026) du rĂ©seau DoppelgĂ€nger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence. L’étude prĂ©sente une architecture d’influence industrielle, centrĂ©e sur l’usurpation de marques mĂ©dias Ă  grande Ă©chelle et ancrĂ©e autour du hub narratif RRN (Reliable Recent News). Le rĂ©seau est conçu pour la rĂ©silience et la scalabilitĂ©, privilĂ©gie des TLD Ă  faible coĂ»t/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuitĂ© opĂ©rationnelle malgrĂ© les saisies. ...

4 mars 2026 Â· 4 min

Un faux contrÎle de sécurité Google transforme un PWA en RAT navigateur et livre un implant Android

Selon Malwarebytes, une campagne d’ingĂ©nierie sociale imite une page « Google Account Security » pour pousser les victimes Ă  installer un PWA et, pour celles qui obĂ©issent Ă  tous les prompts, un APK Android dĂ©guisĂ© en mise Ă  jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routĂ© via Cloudflare. Le flux web en 4 Ă©tapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sĂ©lection et l’envoi de contacts via le Contact Picker API, puis l’accĂšs Ă  la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installĂ©, le script de page lit le presse-papiers lors des Ă©vĂ©nements de focus/visibilitĂ©, tente d’intercepter les SMS via WebOTP, dresse une empreinte dĂ©taillĂ©e du device et effectue un heartbeat toutes les 30 s. ...

4 mars 2026 Â· 3 min

1Phish: un kit de phishing ciblant 1Password, dĂ©sormais multi‑étapes et compatible MFA

Source: Datadog (analyse technique signĂ©e par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fĂ©v. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattĂ©s et des emails Ă  thĂšme « compromission », passant d’un collecteur basique d’identifiants Ă  une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. ‱ Évolution par versions. V1 (sept. 2025) est une page HTML lĂ©gĂšre (~258 lignes) rĂ©coltant email, clĂ© secrĂšte et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation cĂŽtĂ© client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intĂ©gration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fĂ©v. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fĂ©v. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/Ă©quipe (sous‑domaine d’entreprise), sĂ©lection de rĂ©gion, internationalisation, collecte de codes de rĂ©cupĂ©ration 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...

2 mars 2026 Â· 3 min

Aeternum C2 : un botnet utilise des smart contracts Polygon pour un C2 quasi indémontable

Selon Qrator Research Lab (26 fĂ©vrier 2026), un nouveau loader de botnet nommĂ© Aeternum C2 exploite la blockchain Polygon pour hĂ©berger ses commandes de contrĂŽle, contournant les mĂ©thodes classiques de dĂ©mantĂšlement. Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalitĂ© est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hĂŽtes infectĂ©s lisent via des endpoints RPC publics. L’opĂ©rateur pilote le tout via un panneau web : sĂ©lection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis Ă©criture on-chain. Les commandes sont confirmĂ©es sur la chaĂźne et diffusĂ©es aux bots en 2 Ă  3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun liĂ© Ă  une adresse Polygon. ...

2 mars 2026 Â· 3 min

apimspray : un outil de password spraying Entra ID via Azure APIM et rotation d’IP

Selon la documentation du projet publiĂ©e sur GitHub, “apimspray” est un toolkit de password spraying ciblant Entra ID, destinĂ© Ă  la recherche autorisĂ©e et au Red Teaming. 🧰 Description et prĂ©requis Outil spĂ©cialisĂ© pour Entra ID (Azure AD), utilisant des passerelles Azure API Management (APIM) comme couche de proxy distribuĂ© et rotatif (IP rotating). PrĂ©requis : Azure CLI (az) et abonnement Azure actif pour dĂ©ployer des ressources APIM en tier Consumption (coĂ»t annoncĂ© nĂ©gligeable pour de courts tests, typiquement < 0,01 $). Installation/prise en main: clonage du dĂ©pĂŽt, installation des dĂ©pendances Python, session Azure CLI authentifiĂ©e, exĂ©cution depuis Azure Cloud Shell possible. đŸ—ïž DĂ©ploiement des passerelles ...

2 mars 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝