Monde

Selon Malwarebytes, le chercheur Marek Tóth a présenté à DEFCON une attaque de clickjacking ciblant la majorité des gestionnaires de mots de passe basés sur des extensions (notamment 1Password, LastPass, NordPass, Enpass). L’attaque manipule la page pour tromper l’utilisateur et amener l’extension à renseigner des données sensibles sans qu’il s’en aperçoive. L’attaque repose sur la manipulation du DOM pour rendre invisible le sélecteur déroulant de l’extension du gestionnaire et placer un calque (overlay) invisible au-dessus d’un élément apparemment légitime. En cliquant, l’utilisateur actionne en réalité le sélecteur de l’extension, qui remplit et révèle les secrets. TTPs observées: ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon Darknet, ChromeAlone transforme le navigateur Chromium en un implant C2 furtif. L’outil offre la capture d’identifiants, l’accès aux fichiers et des mécanismes de persistance, et se positionne comme une alternative basée sur le navigateur à Cobalt Strike. Points clés 🧩: Implant C2 intégré à Chromium Capture d’identifiants Accès aux fichiers Persistance Alternative basée navigateur à Cobalt Strike TTPs mentionnées: Implantation C2 furtive via navigateur Chromium Credential capture (capture d’identifiants) File access (accès aux fichiers) Persistance Il s’agit d’un article de présentation d’outil décrivant ses capacités et sa finalité. ...

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une année sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clés 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une année sur l’autre, d’après le suivi de Flashpoint. Déclin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

Selon Hackread.com (18 août 2025), un acteur de menace se présentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisé « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liées aux services PayPal. Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes à l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrées raw email:password:url. Les échantillons montreraient des adresses Gmail associées à des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggérant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳 ...

Source: helpnetsecurity.com (20 août 2025). Apple a colmaté CVE-2025-43300, une vulnérabilité zero-day d’écriture hors limites (out-of-bounds write) dans le framework Image I/O, déclenchable lors du traitement d’une image malveillante et menant à une corruption mémoire exploitable. Apple indique que la faille a été activement exploitée dans des attaques ciblées. 🔧 Correctif: Apple affirme avoir corrigé le problème par une amélioration des contrôles de limites (improved bounds checking). 🖥️ Produits/versions corrigés: ...

Selon TechCrunch, les prix des outils de piratage mobile permettant à des gouvernements d’entrer dans des téléphones augmentent, une évolution attribuée aux efforts des entreprises technologiques pour renforcer la cybersécurité. “Une nouvelle start-up basée aux Émirats arabes unis offre jusqu’à 20 millions de dollars pour des outils de piratage qui pourraient aider les gouvernements à accéder à n’importe quel smartphone à l’aide d’un simple SMS.” 📈 Tendance: hausse des tarifs sur le marché des outils d’intrusion mobile. 🎯 Cible: smartphones. 🏛️ Acteurs: gouvernements acheteurs de ces capacités. 🔐 Cause principale: durcissement de la sécurité par les entreprises technologiques. Impact et dynamique: la rareté accrue et la complexité nécessaires pour contourner des protections plus robustes tirent les prix à la hausse, rendant ces outils plus coûteux à développer et à acquérir. ...

Selon Push (recherche signée par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configuré avec ADFS et de la malvertising pour obtenir des redirections légitimes depuis outlook.office.com vers une page de phishing Microsoft clonée en reverse‑proxy. • Le kit observé est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalité ne vient pas de la page mais de la chaîne de redirections et de l’évasion de détection. ...

Source: CIQ (blog) publie une démonstration pratique et une analyse de la vulnérabilité CVE-2025-4598 affectant systemd-coredump, encore non corrigée par défaut sur Enterprise Linux 9 (EL9), et détaille pourquoi Rocky Linux from CIQ – Hardened (RLC‑H) la bloque via des défenses en profondeur. Le billet explique que la faille, un problème lié à la gestion des coredumps par systemd-coredump, permet à un attaquant disposant d’un accès local non privilégié d’obtenir en quelques secondes des données sensibles provenant de processus privilégiés qui crashent (ex. hachages de mots de passe, clés cryptographiques). L’exposition dépend de la configuration: sur EL9 (et Fedora/EL10 selon leur configuration), systemd-coredump est actif via kernel.core_pattern et fs.suid_dumpable≠0, alors qu’EL7/8 ne sont pas exposés par défaut. Fedora a corrigé rapidement, Oracle a publié un correctif dès la divulgation, mais EL9 reste vulnérable par défaut au moment de l’article. ...

Selon BleepingComputer, Okta a rendu open source des requêtes Sigma prêtes à l’emploi destinées aux clients Auth0 pour renforcer la détection dans les journaux d’événements. Ces requêtes visent à identifier : des prises de contrôle de comptes (ATO), des mauvaises configurations, des comportements suspects observables dans les logs Auth0. Objectif affiché : offrir aux utilisateurs Auth0 des détections prêtes à l’usage pour améliorer la visibilité et l’alerte sur des scénarios critiques au sein de leurs événements d’authentification et d’activité. 🛠️ ...