Posts

Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365. Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes. ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...

Contexte: Selon le site Next, Pandora, joaillier danois, informe ses clients d’une violation de données personnelles à la suite d’une « attaque de cybersécurité ». Faits déclarés: L’entreprise indique que des tiers ont consulté des informations via une plateforme tierce. Les données copiées concernées seraient: nom, date de naissance, adresse e‑mail. Pandora affirme que aucun mot de passe, numéro de carte bancaire ou donnée confidentielle similaire n’a été touché. Étendue et visibilité: Selon Pandora, rien n’indique que ces données aient été partagées ou publiées. La société insiste sur la protection de la vie privée comme « priorité absolue » et dit prendre l’incident très au sérieux. ...

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...

Selon Sophos (news.sophos.com), présenté à Black Hat USA ’25, des chercheurs dévoilent une approche de classification de sécurité des lignes de commande qui repense la place de la détection d’anomalies afin de réduire les faux positifs sans dégrader les capacités de détection. L’idée clé consiste à ne plus utiliser la détection d’anomalies pour identifier directement le malveillant, mais à s’en servir pour découvrir une grande diversité de comportements bénins. Ces comportements sont ensuite étiquetés automatiquement (benin/malveillant) par un LLM afin d’augmenter les données d’entraînement. Résultat: l’apprentissage supervisé s’en trouve nettement amélioré, avec des gains d’AUC jusqu’à 27,97 points sur de la télémétrie de production portant sur 50 millions de commandes quotidiennes, tout en réduisant les faux positifs et en maintenant la détection. 📈 ...

Selon le Ministère public II du canton de Zurich, la procédure pénale est close et un acte d’accusation a été déposé fin juillet 2025 auprès du Tribunal d’arrondissement de Zurich. — Une enquête vise une groupe international ayant opéré avec les ransomwares LockerGoga, MegaCortex et Nefilim 🔒. En lien avec ces faits, un Ukrainien de 51 ans a été arrêté en Suisse 🚔. — Le prévenu est accusé d’avoir co-développé de la cybermalveillance et d’avoir participé à des attaques par ransomware entre décembre 2018 et mai 2020, depuis son domicile en Suisse, visant 10 entreprises en Suisse, France, Norvège, Écosse, Canada, Pays-Bas et États-Unis. ...

Source et contexte: SpyCloud publie une analyse basée sur 159 188 identifiants phishés, révélant que la plateforme de Phishing-as-a-Service Tycoon 2FA met en œuvre des techniques Adversary-in-the-Middle (AitM) pour contourner la MFA et compromettre des comptes Microsoft 365 et Gmail. 🎣 Fonctionnement: Tycoon 2FA héberge des copies convaincantes des pages de connexion Gmail et Microsoft 365, intercepte le flux d’authentification, capture identifiants et jetons MFA, relaie les requêtes vers les services légitimes et vole les cookies de session pour l’hijacking. Le kit intègre des fonctions anti-analyse comme des CAPTCHA et de l’obfuscation de code. ...

Selon Straight Arrow News (SAN), des hackers utilisent un firmware personnalisé pour le Flipper Zero afin de contourner les protections à codes roulants des télécommandes automobiles, rendant de nombreux modèles vulnérables. SAN indique avoir obtenu et testé le firmware en environnement contrôlé avec l’accord des propriétaires. Le procédé repose sur l’interception d’un unique signal radio émis par la télécommande, puis sur le calcul de commandes valides (déverrouillage, verrouillage, ouverture du coffre) en exploitant l’algorithme de rolling code. L’attaque, décrite comme « ridiculement rapide et facile », permettrait de décoder instantanément tous les boutons et codes à partir d’une seule pression. ...

Selon la référence fournie (Socket), le chercheur Jerry Gamblin publie le CNA Scorecard, un tableau de bord public évaluant la complétude des données de vulnérabilités CVE fournies par les CVE Numbering Authorities (CNA). Le constat: une crise de qualité des données liée au ralentissement de la NVD, qui enrichissait historiquement les enregistrements CVE. Désormais, les CNA doivent fournir des détails complets qu’elles ne livrent pas de façon consistante depuis plus de 15 ans. ...

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...