Monde

Source: LayerX — Publication de recherche détaillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail. 🚨 Des chercheurs de LayerX ont mis au jour une campagne coordonnée impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le même code, les mêmes permissions et la même infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture délègue les fonctions clés à des iframes distantes contrôlées côté serveur, permettant de modifier le comportement sans mise à jour du Store. ...

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes détaillent « Keenadu », un nouveau backdoor Android intégré à la chaîne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrôle quasi illimité des appareils infectés. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps système et stores), et des liens avec d’autres botnets Android majeurs. • Vecteur et mécanisme d’infection. Keenadu est intégré durant la phase de build du firmware via une bibliothèque statique malveillante liée à libandroid_runtime.so, parfois livrée via mises à jour OTA signées. À l’exécution, il s’injecte dans Zygote et opère dans chaque application, rendant le sandboxing caduc. Il implémente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/révoquer des permissions, de collecter la géolocalisation et d’exfiltrer des données de l’appareil. Un kill switch est présent (fichiers spécifiques, détection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrées (RC4/AES‑CFB, signature DSA, MD5) et chargées via DexClassLoader. ...

Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026. • Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements. ...

Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale. Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte. Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

Selon Microsoft, dans le cadre du Patch Tuesday de février 2026, un correctif a été publié pour résoudre un bogue de Windows 11 qui faisait échouer le démarrage de certains systèmes commerciaux avec l’erreur UNMOUNTABLE_BOOT_VOLUME après l’installation de récentes mises à jour de sécurité. 🛠️ Points clés: Problème: bogue provoquant un échec de démarrage (erreur UNMOUNTABLE_BOOT_VOLUME). Contexte: survenait après l’installation de récentes mises à jour de sécurité. Population affectée: certains systèmes commerciaux sous Windows 11. Correctif: livré via le Patch Tuesday de février 2026. Statut: Microsoft indique que le problème est résolu. 🎯 Produits/erreurs concernés: ...

Selon BleepingComputer (Lawrence Abrams), une campagne d’arnaque exploite les commentaires Pastebin pour diffuser une variante ClickFix qui incite les utilisateurs de cryptomonnaies à exécuter du JavaScript dans leur navigateur, permettant de détourner des transactions Bitcoin sur le service d’échange Swapzone.io. Les attaquants laissent des commentaires sur Pastebin vantant une supposée « fuite » promettant jusqu’à 13 000 $ en deux jours via un pseudo exploit d’arbitrage entre Swapzone.io et ChangeNOW. Le lien mène à une page Google Docs intitulée « Swapzone.io – ChangeNOW Profit Method » décrivant une méthode factice exploitant un « ancien nœud backend » (v1.9) pour obtenir ~38 % de gains supplémentaires. ...

Source et contexte: Google Threat Intelligence Group (GTIG) publie une mise à jour (T4 2025) sur la mauvaise utilisation des IA par des acteurs malveillants. Le rapport observe une hausse des attaques d’extraction de modèles (distillation/model stealing) visant la logique propriétaire, une intégration accrue des LLMs dans la reconnaissance et le phishing, et des expérimentations de malwares intégrant l’IA. Google indique avoir détecté, perturbé et atténué ces activités, sans constater de percée « rupture » par des APT sur des modèles de pointe. ...

Selon BleepingComputer, Apple a diffusé des mises à jour de sécurité afin de corriger une vulnérabilité zero‑day exploitée dans une attaque « extrêmement sophistiquée » visant des individus spécifiques. Apple a publié des mises à jour de sécurité corrigeant CVE-2026-20700, une vulnérabilité dans dyld. Un attaquant disposant d’une capacité d’écriture mémoire peut exécuter du code arbitraire sur l’appareil. Apple précise avoir connaissance d’un rapport indiquant que la faille aurait été exploitée contre des personnes spécifiquement visées (sur des versions d’iOS antérieures à iOS 26) ...

Selon BleepingComputer, Microsoft a corrigé une vulnérabilité d’« exécution de code à distance » affectant le Bloc-notes de Windows 11. La faille permettait à un attaquant d’exécuter des programmes locaux ou distants en incitant l’utilisateur à cliquer sur des liens Markdown spécialement conçus. L’exploitation se faisait sans afficher d’avertissements de sécurité Windows, augmentant le risque d’exécution involontaire de code. Microsoft a publié un correctif pour éliminer cette vulnérabilité au sein de Notepad (Bloc-notes) sur Windows 11. ...

Selon Q Continuum (sur Substack), une étude automatisée a identifié 287 extensions Chrome qui exfiltrent l’historique de navigation, totalisant ~37,4 millions d’installations (~1 % des utilisateurs Chrome), avec des liens vers des courtiers de données tels que Similarweb et des acteurs associés. • Méthodologie de détection: Les auteurs ont fait tourner Chromium en Docker derrière un proxy MITM (mitmdump), généré des charges de navigation synthétiques (URLs de taille croissante) et corrélé le volume sortant aux longueurs d’URL via un modèle linéaire (bytes_out = R × payload_size + b). Les endpoints avec R ≥ 1,0 sont jugés « fuites certaines »; 0,1 ≤ R < 1,0 « fuites probables » suivies d’un second passage plus fin. L’effort a consommé ~930 jours CPU. ...