Posts

NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM). L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email. ...

Source: GreyNoise — Dans un billet d’analyse, GreyNoise signale un pic significatif de tentatives de bruteforce visant les VPN SSL Fortinet, avec plus de 780 IPs uniques observées en une seule journée, le volume le plus élevé depuis plusieurs mois. Deux vagues d’attaque ont été identifiées: une campagne continue et une poussée concentrée débutée le 5 août, chacune présentant des signatures TCP distinctes. À l’aide du fingerprinting JA4+, les chercheurs ont suivi une évolution des cibles allant de FortiOS vers FGFM (FortiManager). ...

Selon BleepingComputer, près de deux mois après la diffusion des correctifs, plus de 3 300 appareils Citrix NetScaler demeurent non corrigés face à une vulnérabilité critique. L’article souligne que cette faille permet à des attaquants de contourner l’authentification en détournant des sessions utilisateur (session hijacking) ⚠️. Produits concernés : Citrix NetScaler. Impact : exposition persistante de milliers d’équipements à un contournement d’authentification via détournement de sessions, malgré la disponibilité de correctifs depuis près de deux mois. ...

Selon 24heures.ch, Swiss a reconnu une exposition de données due à une erreur humaine ayant permis à des personnes non autorisées d’accéder à des informations sensibles sur des pilotes pendant environ deux mois, avec ~70 accès recensés. 🔓 Nature de l’incident: Une erreur d’un collaborateur a rendu accessibles des données confidentielles en interne et chez des partenaires. L’incident a principalement touché des évaluations de pilotes. 🗂️ Données concernées: Dossiers de candidature, résultats de tests et expertises relatifs à des pilotes engagés dans des procédures de recrutement chez Swiss. Des données personnelles d’individus externes évalués par Swiss sous mandat ont également été exposées. ...

Source : Picus Security — L’analyse détaille les tactiques, techniques et procédures (TTPs) d’UNC3886, un groupe APT lié à la Chine visant des infrastructures critiques en Asie, Europe et Amérique du Nord, et montre comment la Picus Security Validation Platform simule ces attaques pour révéler les lacunes de détection. • Accès initial 🛠️ : exploitation de zero-days dans des systèmes d’entreprise, notamment Fortinet et VMware. • Persistance 🧬 : déploiement de rootkits sophistiqués, dont TinyShell et REPTILE, pour une présence de longue durée. • Évasion 🕵️ : utilisation d’outils renommés et de manipulation d’horodatage pour masquer l’activité. • Accès aux identifiants 🔐 : collecte de clés privées SSH. • Commandement et contrôle 📡 : C2 chiffré sur des ports non standard. • Exfiltration 📤 : exfiltration chiffrée des données. ...

Selon Infoblox (blog Threat Intelligence), ce rapport analyse en profondeur VexTrio, une organisation cybercriminelle ancienne et sophistiquée opérant un vaste écosystème mondial de scams, spam et applications mobiles frauduleuses. L’étude décrit un modèle économique multi‑canal : sites de rencontres factices, arnaques crypto, apps VPN et adblock malveillantes (plus d’1 million de téléchargements) et opérations de spam usurpant des services e‑mail légitimes. VexTrio contrôle à la fois les Traffic Distribution Systems (TDS) et les pages d’atterrissage frauduleuses, maximise ses profits via un réseau de sociétés écrans et de programmes d’affiliation, et illustre la porosité entre adtech et cybercriminalité ⚠️. ...

Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable. ...

Source: BleepingComputer — Le NCSC des Pays-Bas (NCSC-NL) alerte sur l’exploitation de la vulnérabilité critique CVE-2025-6543 affectant Citrix NetScaler, ayant conduit à des intrusions au sein d’organisations critiques aux Pays-Bas. ⚠️ L’avertissement signale une exploitation active d’une faille critique dans les appliances Citrix NetScaler. Selon le NCSC-NL, cette vulnérabilité a été utilisée pour compromettre des organisations considérées comme critiques dans le pays. Points clés: Vulnérabilité: CVE-2025-6543 (critique) Produit concerné: Citrix NetScaler Statut: Exploitation active confirmée Impact: Intrusions au sein d’organisations critiques aux Pays-Bas Source de l’alerte: NCSC des Pays-Bas Conclusion: article de presse spécialisé relayant une alerte de sécurité visant à informer d’une exploitation en cours d’une faille critique touchant Citrix NetScaler. ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...

Selon Pointwild, des chercheurs en sécurité ont analysé une campagne malveillante qui abuse de la popularité de Minecraft en se faisant passer pour des installateurs « Eaglercraft 1.12 Offline ». La cible principale est un public jeune et des joueurs occasionnels attirés par des téléchargements non officiels. Le logiciel malveillant embarque le RAT NjRat via Celesty Binder, qui assemble du contenu HTML légitime d’Eaglercraft avec la charge utile. À l’exécution, il dépose plusieurs fichiers (dont CLIENT.exe et WindowsServices.exe), met en place une persistance via les clés Run du registre, et ouvre des exceptions pare-feu via des commandes netsh. ...