Monde

The Verge met en garde contre une nouvelle vague de menaces liées aux navigateurs intégrant des agents IA (ChatGPT Atlas, Copilot Mode d’Edge, Comet, etc.), alors que la course pour « posséder » la porte d’entrée du web s’accélère. Des vulnérabilités ont déjà été constatées: dans Atlas, des chercheurs ont exploité la mémoire pour injecter du code malveillant, élever des privilèges ou déployer des malwares. Des failles dans Comet permettraient de détourner l’IA du navigateur via des instructions cachées. OpenAI (via son CISO) et Perplexity reconnaissent que les prompt injections constituent une menace majeure et « de frontière » sans solution établie. ...

BleepingComputer rapporte que Microsoft enquête sur une panne DNS en cours qui affecte des clients à l’échelle mondiale, empêchant l’accès à Microsoft Azure et Microsoft 365. Depuis environ 16h00 UTC, Microsoft subit une panne majeure affectant ses services Azure, Microsoft 365, Intune, Exchange Admin Center et Azure Front Door (AFD). L’incident, toujours en cours, provoque des problèmes d’authentification et de connectivité à travers le monde, touchant entreprises, institutions et infrastructures publiques — y compris les chemins de fer néerlandais, dont les systèmes de billetterie et de planification de trajets sont indisponibles. ...

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...

Selon SQRX Labs, des chercheurs ont dévoilé une campagne coordonnée impliquant trois extensions Chrome malveillantes — Axiom Enhancer, Photon Bot et Trenches Agent — visant des plateformes de trading de cryptomonnaies. Les extensions étaient disponibles sur le Chrome Web Store au moment de la publication. Les chercheurs ont d’abord découvert Axiom Enhancer en train de voler des cookies d’authentification et des données localStorage d’utilisateurs d’axiom.trade. Un pivot de domaines a révélé Photon Bot utilisant la même infrastructure, puis l’analyse des métadonnées a conduit à Trenches Agent, un framework plus sophistiqué et multi-cibles. Ce dernier récolte des identifiants sur plusieurs plateformes, dont Axiom, BullX, Photon, GMGN et Padre. Les trois extensions partagent des motifs de code cohérents, indiquant une même paternité. 🚨 ...

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » exploite des agents Microsoft Copilot Studio pour délivrer des demandes de consentement OAuth frauduleuses en s’appuyant sur des domaines Microsoft légitimes et de confiance. Cette approche arme des agents Copilot Studio comme canal de diffusion, donnant à la demande d’autorisation une apparence officielle. L’attaque cible spécifiquement le flux de consentement OAuth, où l’utilisateur est incité à valider une autorisation trompeuse. ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » a été observée. Cette méthode arme des agents Microsoft Copilot Studio pour envoyer des demandes de consentement OAuth frauduleuses, en passant par des domaines Microsoft légitimes et de confiance. 🎯 L’objectif est de faire parvenir des requêtes d’autorisation OAuth qui paraissent légitimes, car servies depuis des domaines Microsoft reconnus. TTPs observés: Phishing Abus d’agents Microsoft Copilot Studio Fraude au consentement OAuth (OAuth consent phishing) Utilisation de domaines Microsoft légitimes pour la livraison Il s’agit d’un article de presse spécialisé visant à informer sur l’émergence de cette nouvelle technique de phishing. ...

Selon Cyber Security News, Oracle a divulgué deux vulnérabilités critiques — CVE-2025-53072 et CVE-2025-62481 — affectant le composant Marketing Administration d’Oracle E‑Business Suite. ⚠️ Ces failles, notées CVSS 9.8, pourraient permettre à des attaquants distants de prendre le contrôle complet du module Marketing, avec des impacts élevés sur la confidentialité, l’intégrité et la disponibilité. Les deux vulnérabilités sont exploitables via des requêtes HTTP sur le réseau, avec une complexité d’attaque faible, aucun privilège requis et aucune interaction utilisateur. Le vecteur CVSS 3.1 communiqué (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) souligne la facilité d’exploitation et la sévérité. Les risques évoqués incluent le vol de données clients, la manipulation de campagnes marketing et la perturbation des opérations. ...

Contexte — The Register (Carly Page) rapporte que Google, en collaboration avec Check Point, a supprimé des milliers de vidéos malveillantes publiées sur YouTube par un réseau baptisé ‘YouTube Ghost Network’, actif depuis 2021 et fortement intensifié en 2025. Le mode opératoire reposait sur des comptes YouTube légitimes compromis et des faux comptes orchestrés pour publier des tutoriels promettant des copies piratées de logiciels (Photoshop, FL Studio, Microsoft Office, Lightroom, outils Adobe) et des cheats de jeux, notamment pour Roblox 🎮. Les victimes étaient incitées à désactiver leur antivirus puis à télécharger des archives depuis Dropbox, Google Drive ou MediaFire contenant des infostealers comme Rhadamanthys et Lumma, qui exfiltraient identifiants, portefeuilles crypto et données système vers des serveurs de commande et contrôle (C2). Certains contenus redirigeaient aussi vers des pages de phishing hébergées sur Google Sites visant des utilisateurs de cryptomonnaies. ...

Selon iVerify (article de Matthias Frielingsdorf, VP Research), iOS 26 modifie la gestion du fichier shutdown.log en l’écrasant à chaque redémarrage, ce qui efface des preuves historiques d’infections par les spywares Pegasus et Predator, posant un défi majeur aux enquêteurs forensiques. 📱 Rôle de shutdown.log: Pour les versions antérieures, le fichier se trouvait dans les Unified Logs (Sysdiagnose → system_logs.logarchive → Extra → shutdown.log) et conservait une trace des activités lors de l’extinction. En 2021, des versions connues de Pegasus laissaient des marqueurs visibles dans ce log, facilitant l’identification d’indicateurs de compromission (IOC). ...