Monde

Selon Help Net Security, YouTube (2,53 milliards d’utilisateurs) est devenu un terrain où coexistent divertissement, information et tromperie, avec une hausse notable des abus exploitant les failles de l’écosystème. L’article met en avant la prolifération d’arnaques et de deepfakes, ainsi que des promotions camouflant des liens malveillants derrière des logos familiers. Il cite aussi la présence de malware dans des vidéos tutoriels, des comptes de créateurs détournés, et des contenus de fraude à l’investissement devenus récurrents. ...

Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru. NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC. ...

Source : Check Point Research (blog). Dans cette publication, les chercheurs détaillent plusieurs vulnérabilités dans Microsoft Teams touchant la confiance au sein des conversations, avec un suivi de divulgation responsable et des correctifs Microsoft finalisés fin octobre 2025. • Découvertes clés (CVE-2024-38197) : Édition invisible de messages : réutilisation d’identifiants uniques pour modifier des messages sans l’étiquette « Édité » ➜ altération silencieuse de l’historique. Notifications spoofées : manipulation des champs de notification pour faire apparaître des alertes comme venant d’un cadre ou collègue de confiance. Changement de nom affiché en chat privé : modification du topic de conversation impactant le nom visible par les deux participants. Usurpation d’identité en appels audio/vidéo : modification arbitraire du display name via la manipulation des requêtes d’initiation d’appel. • Impact et contexte : avec plus de 320 M d’utilisateurs mensuels, Teams est une infrastructure critique. Ces failles permettent l’usurpation d’exécutifs, la fraude financière, la livraison de malware, des campagnes de désinformation et la perturbation de communications sensibles. Les chercheurs soulignent une tendance de fond : les applications de collaboration (Teams, Slack, Zoom, etc.) deviennent un nouvel espace d’attaque, prisé par des APT et des cybercriminels exploitant les signaux de confiance (noms affichés, notifications, messages cités). ...

Source et contexte: Zscaler ThreatLabz publie le « 2025 Mobile, IoT & OT Threat Report » (données juin 2024–mai 2025), fondé sur la télémétrie de son cloud et l’analyse de transactions mobiles et IoT/OT à grande échelle. 📱 Mobile: Les transactions de malwares Android ont grimpé de 67%. Zscaler recense 239 applications Android malveillantes (42 M de téléchargements sur Google Play). Le backdoor Android Void/Vo1d a infecté 1,6 M de box TV Android (cible: versions AOSP anciennes). Les menaces phares incluent les bancaires (Anatsa) et un nouveau RAT Xnotice (ciblant des candidats dans l’oil & gas), avec abus massif des services d’accessibilité, overlays, mishing (SMS), et contournements via ZIP/APK malformés et payloads DEX chiffrés. L’adware domine désormais (69%), devant Joker (23%) et Harly (5%). ...

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs. — Détails techniques et impact — La faille provient de l’absence de contrôles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisés sans vérification de capacités. Les journaux exposent notamment des messages de réinitialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant à une compromission complète du site. 🚨 — Chronologie — ...

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures. ⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2. ...

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », découvert en juillet 2025 lors d’une réponse à incident où les attaquants visaient une persistance longue durée à des fins d’espionnage. • 🧩 Chaîne d’infection et composants: Le loader Netapi64.dll (obfusqué via Eazfuscator.NET) est chargé par injection .NET AppDomainManager via un fichier .config, crée des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exécute un binaire XOR-décodé « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gère les proxys, encode le nom d’hôte en Base64 et interagit avec l’écosystème Assistants/Vector Stores d’OpenAI. ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon l’extrait fourni, il s’agit d’un walkthrough expliquant l’usage de Ghidriff (Ghidra) pour analyser un correctif qui résout une écriture hors limites sur le tas dans rAthena, référencée sous CVE-2025-58447. 🔍 Le contenu décrit une analyse de patch par rétro‑ingénierie avec Ghidra/Ghidriff, centrée sur l’identification des changements apportés pour corriger la vulnérabilité de type heap-based out-of-bounds write. 🛠️ L’accent est mis sur le processus d’analyse technique du correctif, sans détailler d’autres éléments contextuels (impact, vecteur, versions). L’objectif est de comprendre comment le patch remédie à la faille. ...

Source: blog.mozilla.org (Alan Byrne, 23 octobre 2025). Mozilla annonce un changement de politique pour les extensions Firefox centré sur la transparence de la collecte de données. À partir du 3 novembre 2025, toutes les nouvelles extensions Firefox devront déclarer si elles collectent ou transmettent des données personnelles dans le manifest.json via la clé browser_specific_settings.gecko.data_collection_permissions. 🧩🔒 Les extensions qui ne collectent ni ne transmettent de données doivent le préciser en définissant la permission « none required » dans cette propriété. ...