Monde

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnérabilité (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accès utilisateur à des privilèges SYSTEM, avec rétro‑ingénierie et étude des correctifs. Le chercheur identifie un mécanisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requêtes sont envoyées pour modifier des clés de registre en SYSTEM, permettant d’ouvrir les paramètres à tous les utilisateurs. Premier impact: désactivation de la protection antivirus et possibilité de whitelister des fichiers en tant qu’utilisateur non privilégié. ...

Selon BleepingComputer, des attaquants exploitent activement une vulnérabilité critique d’élévation de privilèges (CVE-2025-8489) dans le plugin King Addons for Elementor pour WordPress. 🚨 Fait principal: la faille permet aux acteurs malveillants d’obtenir des permissions administrateur pendant le processus d’inscription. Produit concerné: plugin WordPress King Addons for Elementor. Vulnérabilité: élévation de privilèges (CVE-2025-8489). Impact: prise de contrôle administratif d’un site via la phase d’enregistrement. IOCs et TTPs: IOCs: non précisés dans l’extrait. TTPs: Exploitation d’une faille d’élévation de privilèges côté plugin WordPress. Abus du flux d’inscription pour s’octroyer des droits administratifs. Il s’agit d’un article de presse spécialisé visant à signaler une exploitation active d’une vulnérabilité WordPress et à informer sur son impact. ...

Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basée sur un pipeline d’intelligence temps réel (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liés à des kits de phishing, C2 et livraison de payloads. 🔎 Infrastructures et hébergement 68% de l’infrastructure de phishing observée se trouve derrière Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%). Sur 12 635 IPs uniques, 51,54% sont en hébergement direct (infrastructures jetables), 48,46% protégées par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur près de la moitié du paysage. Fiabilité opérationnelle élevée: 96,16% de taux moyen de résolution DNS. 🕸️ Abus de confiance et TLDs utilisés ...

Selon Searchlight Cyber (billet de recherche, 4 décembre 2025), une vulnérabilité de type RCE affectant Next.js en configuration par défaut via React Server Components (RSC) fait l’objet de nombreux PoC erronés, et l’équipe publie un test réseau précis pour confirmer la présence du défaut. ⚠️ Contexte et portée: L’avis du jour signale une exécution de code à distance (RCE) exploitable sans prérequis sur des applications Next.js utilisant RSC. Les auteurs soulignent que se contenter de détecter la présence de RSC n’est pas suffisant pour conclure à la vulnérabilité et que plusieurs PoC GitHub ne reflètent pas l’exploit réellement communiqué aux mainteneurs (référence à react2shell.com). ...

Source et contexte — Check Point Research publie une analyse détaillant CVE-2025-61260, une vulnérabilité d’injection de commandes dans OpenAI Codex CLI liée au chargement implicite de configurations locales de projet via MCP (Model Context Protocol). Le problème provient du fait que Codex CLI charge automatiquement, au démarrage, des entrées mcp_servers issues d’une configuration projet lorsque le dépôt contient un .env définissant CODEX_HOME=./.codex et un ./.codex/config.toml. Les commandes déclarées y sont alors exécutées immédiatement sans validation, approbation interactive ni recontrôle lors de modifications. La confiance est liée à l’emplacement (le répertoire résolu) plutôt qu’au contenu, permettant de remplacer ultérieurement une config initialement bénigne par une payload malveillante. ...

Selon ANY.RUN Cybersecurity Blog, un hybride Salty2FA–Tycoon2FA est en train de toucher des boîtes mail à l’échelle mondiale ✉️. Fusion inédite entre Salty2FA et Tycoon2FA : vers une nouvelle génération de kits de phishing 2FA 1. Effondrement soudain de Salty2FA Fin octobre 2025, Salty2FA – traditionnellement très actif avec 250+ soumissions hebdomadaires sur ANY.RUN – s’effondre brutalement pour atteindre 51 soumissions au 11 novembre. Les règles Suricata associées au kit (sid:85002719) cessent soudainement de se déclencher, tandis que nombre d’échantillons deviennent : ...

Selon BleepingComputer, la campagne Glassworm, apparue en octobre sur les marketplaces OpenVSX et Microsoft Visual Studio, en est désormais à sa troisième vague. Glassworm : une troisième vague plus massive, plus sophistiquée et mieux dissimulée 1. Une campagne persistante qui cible les écosystèmes VS Code La campagne Glassworm, apparue en octobre, entre dans sa troisième vague : ➡️ 24 nouveaux packages malveillants ont été identifiés sur le Microsoft Visual Studio Marketplace et OpenVSX. Ces plateformes fournissent des extensions aux éditeurs compatibles VS Code, ce qui en fait une cible privilégiée pour atteindre les environnements de développement. ...

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...