CVE-2026-2441 : faille RCE dans Google Chrome corrigée en urgence

Selon The Cyber Express, une vulnĂ©rabilitĂ© critique (CVE-2026-2441) affectant Google Chrome permet une exĂ©cution de code Ă  distance (RCE) via un bug use-after-free liĂ© au CSS. Google a publiĂ© une mise Ă  jour d’urgence pour corriger ce problĂšme. 🚹 Points clĂ©s VulnĂ©rabilitĂ©: CVE-2026-2441 Type: use-after-free (CSS) Impact: exĂ©cution de code Ă  distance (RCE) Produits concernĂ©s: Google Chrome Correctif: mise Ă  jour d’urgence disponible DĂ©tails techniques succincts La faille est dĂ©clenchĂ©e via la manipulation du CSS, entraĂźnant un use-after-free exploitable pour de la RCE. Correctif ...

16 fĂ©vrier 2026 Â· 1 min

Des acteurs malveillants dĂ©tournent les requĂȘtes DNS dans les campagnes ClickFix pour livrer des malwares

Selon une publication spĂ©cialisĂ©e diffusĂ©e le 16 fĂ©vrier 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingĂ©nierie sociale. Les attaquants abusent des requĂȘtes DNS comme canal au cƓur de ces campagnes, marquant la premiĂšre utilisation connue du DNS dans ce contexte. Cette Ă©volution de la tactique sert Ă  livrer des malwares via le mĂ©canisme DNS, intĂ©grĂ©e Ă  l’ingĂ©nierie sociale propre Ă  ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

16 fĂ©vrier 2026 Â· 2 min

Faille critique CVE-2026-1731 dans BeyondTrust exploitĂ©e pour prendre le contrĂŽle d’Active Directory

GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnĂ©rabilitĂ© critique CVE-2026-1731 affectant des dĂ©ploiements auto-hĂ©bergĂ©s de BeyondTrust Remote Support et Privileged Remote Access. La faille autorise des attaquants non authentifiĂ©s Ă  rĂ©aliser une injection de commandes systĂšme, conduisant Ă  une exĂ©cution de code Ă  distance (RCE). Les produits concernĂ©s sont explicitement les instances auto-hĂ©bergĂ©es de BeyondTrust Remote Support et de Privileged Remote Access. ⚠ L’impact mis en avant est majeur, les attaquants pouvant prendre un contrĂŽle complet d’Active Directory, ce qui Ă©largit drastiquement leur surface d’action au sein des environnements ciblĂ©s. ...

16 fĂ©vrier 2026 Â· 1 min

Microsoft corrige un bogue Windows 11 causant un échec de démarrage aprÚs des mises à jour de sécurité

Selon Microsoft, dans le cadre du Patch Tuesday de fĂ©vrier 2026, un correctif a Ă©tĂ© publiĂ© pour rĂ©soudre un bogue de Windows 11 qui faisait Ă©chouer le dĂ©marrage de certains systĂšmes commerciaux avec l’erreur UNMOUNTABLE_BOOT_VOLUME aprĂšs l’installation de rĂ©centes mises Ă  jour de sĂ©curitĂ©. đŸ› ïž Points clĂ©s: ProblĂšme: bogue provoquant un Ă©chec de dĂ©marrage (erreur UNMOUNTABLE_BOOT_VOLUME). Contexte: survenait aprĂšs l’installation de rĂ©centes mises Ă  jour de sĂ©curitĂ©. Population affectĂ©e: certains systĂšmes commerciaux sous Windows 11. Correctif: livrĂ© via le Patch Tuesday de fĂ©vrier 2026. Statut: Microsoft indique que le problĂšme est rĂ©solu. 🎯 Produits/erreurs concernĂ©s: ...

16 fĂ©vrier 2026 Â· 1 min

OysterLoader : analyse d’un loader multi‑étapes d’évasion liĂ© Ă  Rhysida

Selon une publication technique signĂ©e par Pierre Le Bourhis (Sekoia.io), cette recherche dĂ©taille le fonctionnement d’OysterLoader (a.k.a. Broomstick/CleanUp), un loader C++ multi‑étapes distribuĂ© via faux sites d’installateurs MSI signĂ©s, utilisĂ© dans des campagnes menant au ransomware Rhysida et Ă  la diffusion de l’infostealer Vidar. — Aperçu et chaĂźne d’infection (4 Ă©tapes) Stage 1 – Packer/Obfuscator (TextShell) : API hammering massif (appels GDI/DLL sans but), rĂ©solution dynamique d’API par hachage custom, anti‑debug basique (IsDebuggerPresent → boucle infinie), allocation RWX et copie « mĂ©langĂ©e » du stage suivant. Structure interne « core » embarquant donnĂ©es compressĂ©es, API rĂ©solues et config. Stage 2 – Shellcode : dĂ©compression LZMA custom (en‑tĂȘte et bitstream non standards), fixups de relocalisation (patch E8/E9), rĂ©solution d’imports via LoadLibraryA/GetProcAddress, changement des protections mĂ©moire puis saut vers le payload reconstruit. Stage 3 – Downloader : vĂ©rifications d’environnement (compte les processus et quitte si < 60 ; fonction de test langue russe non appelĂ©e ; mesures de timing), premier contact C2 via HTTPS avec enregistrement (/reg) et dĂ©guisement rĂ©seau (entĂȘtes x-amz-cf-id, Content-Encoding, UA « WordPressAgent » puis « FingerPrint »). RĂ©cupĂ©ration du stage suivant via stĂ©ganographie dans une icĂŽne retournĂ©e par /login, dĂ©cryptĂ©e en RC4 avec une clĂ© hardcodĂ©e ; dĂ©pĂŽt d’une DLL dans %APPDATA% et persistance par tĂąche planifiĂ©e (rundll32 DllRegisterServer, toutes les 13 min). Stage 4 – Core (COPYING3.dll) : rĂ©emploi de l’obfuscation (shellcode + LZMA custom), C2 HTTP clair (port 80) avec fallback sur 3 IPs, beacons et schĂ©ma JSON encodĂ© par Base64 non standard avec dĂ©calage alĂ©atoire (Mersenne Twister) et alphabet custom. Évolution rĂ©cente vers /api/v2/ avec init/facade et rotation d’alphabet fournie par le C2 (champ tk) ; empreinte enrichie (t11/t12 : liste des processus et PIDs). — DĂ©guisement, Ă©vasion et communication C2 ...

16 fĂ©vrier 2026 Â· 4 min

S2W analyse le ransomware DragonForce, son RaaS « RansomBay » et ses variantes Windows/Linux

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opĂ©rationnel du groupe ransomware DragonForce, actif depuis dĂ©cembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliĂ©s, et l’évolution de ses binaires Windows et Linux. Le groupe a Ă©mergĂ© avec des fuites de donnĂ©es sur BreachForums, en s’appuyant sur des Ă©lĂ©ments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basĂ© LockBit 3.0 n’est plus disponible. DragonForce promeut son Ă©cosystĂšme via le service RansomBay et des offres diffĂ©renciantes (p. ex. Harassment Calling, Data Analysis) pour Ă©largir son influence RaaS. ...

16 fĂ©vrier 2026 Â· 3 min

UE: BoĂźte Ă  outils sĂ©curitĂ© des cĂąbles sous‑marins et liste CPEI pour renforcer la rĂ©silience

Source et contexte: Commission europĂ©enne (DG CNECT) – Rapport de l’Expert Group « Submarine Cable Infrastructures » (janvier 2026), soutenu par Analysys Mason & Axiom, pour mettre en Ɠuvre l’EU Action Plan on Cable Security (2025). ‱ Le rapport finalise une « Cable Security Toolbox » composĂ©e de 10 mesures (6 stratĂ©giques, 4 techniques) visant la prĂ©vention, la dĂ©tection, la rĂ©ponse & reprise, et la dissuasion des menaces sur les cĂąbles sous‑marins tĂ©lĂ©com/Ă©nergie. Il s’appuie sur 7 scĂ©narios de risque: sabotage physique de cĂąbles, attaque/sabotage de sites d’atterrage (dont intrusion cyber), coupures d’alimentation, perturbation des capacitĂ©s de maintenance, ruptures de chaĂźne d’approvisionnement, dommages accidentels, alĂ©as naturels. ...

16 fĂ©vrier 2026 Â· 3 min

Arnaque ClickFix via commentaires Pastebin détourne des swaps Bitcoin sur Swapzone

Selon BleepingComputer (Lawrence Abrams), une campagne d’arnaque exploite les commentaires Pastebin pour diffuser une variante ClickFix qui incite les utilisateurs de cryptomonnaies Ă  exĂ©cuter du JavaScript dans leur navigateur, permettant de dĂ©tourner des transactions Bitcoin sur le service d’échange Swapzone.io. Les attaquants laissent des commentaires sur Pastebin vantant une supposĂ©e « fuite » promettant jusqu’à 13 000 $ en deux jours via un pseudo exploit d’arbitrage entre Swapzone.io et ChangeNOW. Le lien mĂšne Ă  une page Google Docs intitulĂ©e « Swapzone.io – ChangeNOW Profit Method » dĂ©crivant une mĂ©thode factice exploitant un « ancien nƓud backend » (v1.9) pour obtenir ~38 % de gains supplĂ©mentaires. ...

15 fĂ©vrier 2026 Â· 2 min

Abus de Net Monitor for Employees et SimpleHelp pour persistance menant Ă  une tentative de ransomware Crazy

Selon Huntress (blog), fin janvier et dĂ©but fĂ©vrier 2026, l’équipe Tactical Response a observĂ© deux intrusions oĂč des acteurs ont combinĂ© l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant Ă  une tentative de dĂ©ploiement de ransomware Crazy (famille VoidCrypt) et Ă  la surveillance d’activitĂ©s liĂ©es aux cryptomonnaies. — Aperçu gĂ©nĂ©ral Les attaquants ont utilisĂ© Net Monitor for Employees comme canal d’accĂšs principal (avec shell intĂ©grĂ© via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagĂ©s (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohĂ©rente suggĂšrent un opĂ©rateur/groupe unique. — Cas #1 (fin janvier 2026) ...

13 fĂ©vrier 2026 Â· 4 min

BADIIS : campagne mondiale d’empoisonnement SEO via modules IIS malveillants (1 800+ serveurs)

Source: Elastic Security Labs — Dans une analyse publiĂ©e en 2026, Elastic dĂ©crit une intrusion observĂ©e en novembre 2025 et relie cette activitĂ© au groupe REF4033 (associĂ© Ă  UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installĂ© comme module natif IIS. ‱ PortĂ©e et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS Ă  travers le monde. Elle sert d’abord du HTML bourrĂ© de mots-clĂ©s aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un Ă©cosystĂšme de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est gĂ©ociblĂ©e pour monĂ©tiser du trafic via des domaines gouvernementaux, Ă©ducatifs et corporatifs compromis Ă  forte rĂ©putation. 🎯 ...

13 fĂ©vrier 2026 Â· 4 min
Derniùre mise à jour le: 5 juillet 2026 📝