Monde

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées. Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

Selon Have I Been Pwned (HIBP), des données clients de TheSqua.re ont été compromises et diffusées en ligne. L’incident, survenu en juin 2025, concerne 107 000 adresses email uniques. Les informations publiées sur un forum de hacking incluent également des noms, numéros de téléphone et villes. HIBP précise que TheSqua.re n’a pas répondu aux tentatives répétées de divulgation responsable. Toutefois, plusieurs abonnés HIBP concernés ont confirmé la légitimité et l’exactitude des données divulguées. ...

Selon blog.kartone.ninja, une analyse de rétro‑ingénierie a mis au jour « P0sT5n1F3r », un module Apache furtif conçu pour intercepter le trafic HTTPS et exfiltrer des données sensibles. L’artefact décrit est une porte dérobée pour Apache capable de sniffer le trafic HTTPS directement sur le serveur. Son activité était dissimulée via un chiffrement RC4, ce qui l’a rendu indétecté par les plateformes anti‑malwares jusqu’à sa découverte. 🔒🕵️ L’analyse a retrouvé la clé RC4 utilisée, ce qui a permis de révéler un payload ciblé dont l’objectif est le vol de données de cartes bancaires. 💳 ...

Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnérables à une faille critique de type exécution de code à distance (RCE), identifiée sous le code CVE-2025-7775. Cette vulnérabilité touche NetScaler ADC et NetScaler Gateway et a déjà été exploitée comme un zero-day, avant même la publication du correctif. Les versions affectées incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix précise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre à jour immédiatement vers une version corrigée. ...

Selon Malwarebytes, le chercheur Marek Tóth a présenté à DEFCON une attaque de clickjacking ciblant la majorité des gestionnaires de mots de passe basés sur des extensions (notamment 1Password, LastPass, NordPass, Enpass). L’attaque manipule la page pour tromper l’utilisateur et amener l’extension à renseigner des données sensibles sans qu’il s’en aperçoive. L’attaque repose sur la manipulation du DOM pour rendre invisible le sélecteur déroulant de l’extension du gestionnaire et placer un calque (overlay) invisible au-dessus d’un élément apparemment légitime. En cliquant, l’utilisateur actionne en réalité le sélecteur de l’extension, qui remplit et révèle les secrets. TTPs observées: ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon Darknet, ChromeAlone transforme le navigateur Chromium en un implant C2 furtif. L’outil offre la capture d’identifiants, l’accès aux fichiers et des mécanismes de persistance, et se positionne comme une alternative basée sur le navigateur à Cobalt Strike. Points clés 🧩: Implant C2 intégré à Chromium Capture d’identifiants Accès aux fichiers Persistance Alternative basée navigateur à Cobalt Strike TTPs mentionnées: Implantation C2 furtive via navigateur Chromium Credential capture (capture d’identifiants) File access (accès aux fichiers) Persistance Il s’agit d’un article de présentation d’outil décrivant ses capacités et sa finalité. ...