Monde

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon Zscaler ThreatLabz, dans une publication de recherche sur une attaque de supply chain visant les développeurs Python, un package PyPI nommé termncolor importe une dépendance malveillante (colorinal) pour lancer une chaîne d’attaque sophistiquée affectant Windows et Linux. L’attaque débute lorsque termncolor importe colorinal, dont le fichier unicode.py charge terminate.dll via ctypes.CDLL. La DLL utilise un chiffrement AES-CBC avec la clé “xterminalunicode” pour déchiffrer et déposer deux fichiers dans %LOCALAPPDATA%\vcpacket: vcpktsvr.exe (fichier signé légitime) et libcef.dll (charge utile malveillante). La persistance est assurée via la clé Run du Registre Windows. ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...

Selon BleepingComputer, un chercheur en sécurité a mis en ligne un proof-of-concept (PoC) partiel pour une vulnérabilité affectant le pare-feu applicatif web FortiWeb de Fortinet, permettant à un attaquant distant de contourner l’authentification. Nature de la faille: bypass d’authentification. Impact: accès non autorisé à distance potentiel sur des instances FortiWeb. Degré de publication: PoC partiel (preuve de concept), démontrant la faisabilité de l’exploitation. Le produit concerné est le WAF FortiWeb. L’information se concentre sur l’existence du PoC et l’impact possible du contournement d’authentification, sans autres détails publics dans l’extrait. ...

Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. 🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur. ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Source : Cymulate (blog) — Dans un billet signé Ruben Enkaoua (12 août 2025), Cymulate Research Labs détaille CVE-2025-50154, une vulnérabilité zero‑click de fuite d’identifiants NTLM qui contourne le correctif Microsoft de CVE-2025-24054 et affecte des systèmes entièrement patchés. • Découverte et portée. La nouvelle faille CVE-2025-50154 permet de déclencher une authentification NTLM sans interaction utilisateur et d’extraire des empreintes NTLMv2 sur des machines à jour. Le chercheur montre qu’en exploitant un angle mort du correctif d’avril, un attaquant peut provoquer des requêtes NTLM automatiques et s’en servir pour du craquage hors‑ligne ou des attaques par relais (NTLM relay), ouvrant la voie à élévation de privilèges, mouvements latéraux et potentielle RCE. ...

Contexte — Source : Trustwave SpiderLabs. Le billet détaille une campagne avancée d’EncryptHub combinant ingénierie sociale, exploitation de vulnérabilité et nouveaux outils malveillants pour compromettre des cibles à l’échelle mondiale. • Portée et mode opératoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accès à distance, puis hébergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opérateurs utilisent également de fausses plateformes de visioconférence et des structures de commande chiffrées pour la persistance et le contrôle. ...

Selon Embrace The Red, un chercheur en sécurité a mis au jour plusieurs vulnérabilités critiques d’exfiltration de données affectant Google Jules, un agent IA de codage asynchrone, démontrant un enchaînement de type « lethal trifecta »: injection de prompt → confused deputy → invocation automatique d’outils. 🚨 Principaux vecteurs d’attaque mis en évidence: Rendu d’images Markdown: ajout de données sensibles à des URLs tierces lors du rendu, permettant l’exfiltration via requêtes sortantes. Abus de l’outil view_text_website: utilisation de la fonction pour exfiltrer des données vers des serveurs contrôlés par l’attaquant. Exécution de code à distance (RCE) avec accès Internet non restreint. Le chercheur explique que l’architecture multi‑agents de Jules, où un agent planificateur principal coordonne des agents « workers » à forts privilèges, est au cœur de l’exposition: des attaques ciblant le planificateur peuvent contourner les contrôles « human‑in‑the‑loop », sans nécessiter les capacités des workers. ...