Posts

Selon BleepingComputer, le FBI a publié un avis public avertissant d’une recrudescence d’escroqueries d’enlèvement virtuel où des criminels altèrent des photos issues des réseaux sociaux pour les présenter comme des preuves de vie crédibles et soutirer des rançons. Le Bureau souligne qu’aucun enlèvement réel n’est impliqué. Le mode opératoire décrit par le FBI commence par un contact par SMS affirmant qu’un proche a été kidnappé, suivi d’exigences de paiement immédiat et de menaces de violence. Les escrocs envoient des photos/vidéos manipulées du prétendu otage qui, à l’examen, présentent des incohérences par rapport à des images confirmées de la personne. Ils s’appuient sur des informations publiques et des contenus récupérés en ligne pour renforcer la crédibilité et créer un sentiment d’urgence. ...

Selon TechCrunch, le ministère indien des Télécoms a annoncé qu’il ne rendrait finalement pas obligatoire la préinstallation de Sanchar Saathi, une app d’anti-vol et de protection cybersécurité, sur tous les smartphones, revenant sur une directive récente qui avait suscité un vif débat autour de la vie privée et de l’accès étatique aux appareils. Le ministère a indiqué que l’app resterait volontaire, alors qu’une note antérieure demandait aux fabricants d’intégrer l’app au système et d’en rendre les fonctionnalités « non désactivables ». Cette contradiction a nourri la confusion: le ministre des Télécoms affirmait que les utilisateurs pourraient la supprimer, tandis que le document adressé aux fabricants imposait l’inverse. 📱🔒 ...

Source : BleepingComputer (Sergiu Gatlan) — Inotiv, société américaine de recherche sous contrat (CRO), a confirmé un incident de ransomware en août 2025 et envoie des notifications de violation à 9 542 personnes, après avoir rétabli l’accès à ses réseaux et systèmes. 🔐 L’entreprise indique qu’un acteur malveillant a accédé sans autorisation à ses systèmes entre le 5 et le 8 août 2025. L’attaque a perturbé les opérations, mettant hors ligne certains réseaux et systèmes, dont des bases de données et des applications internes. Inotiv a déclaré avoir restauré la disponibilité et l’accès aux environnements impactés. ...

Selon Malwarebytes, s’appuyant sur des documents internes fuités, un billet du Google Threat Analysis Group (TAG) et des vérifications d’Amnesty International, Intellexa — vendeur de spyware mercenaire — continue d’opérer sa plateforme Predator et de viser de nouvelles cibles malgré des sanctions américaines et une enquête en Grèce. Des chercheurs décrivent l’usage continu par Intellexa de zero‑days contre les navigateurs mobiles, avec une liste de 15 zero‑days uniques publiée par Google TAG. Le modèle économique repose sur l’achat de failles puis leur « brûlage » une fois patchées. Les prix évoqués incluent 100 000 à 300 000 $ pour un RCE Chrome avec contournement du sandbox prêt pour un déploiement à l’échelle, tandis que le courtier Zerodium a offert plusieurs millions (2019) pour des chaînes zero‑click complètes et persistantes sur Android et iOS. ...

Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication. Produits et versions concernés: ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée. État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138. ...

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnérabilité (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accès utilisateur à des privilèges SYSTEM, avec rétro‑ingénierie et étude des correctifs. Le chercheur identifie un mécanisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requêtes sont envoyées pour modifier des clés de registre en SYSTEM, permettant d’ouvrir les paramètres à tous les utilisateurs. Premier impact: désactivation de la protection antivirus et possibilité de whitelister des fichiers en tant qu’utilisateur non privilégié. ...

Selon BleepingComputer, le NCSC (National Cyber Security Center) du Royaume‑Uni a annoncé la phase de test de « Proactive Notifications », un nouveau service d’alerte préventive destiné à informer les organisations des vulnérabilités et faiblesses de configuration observables publiquement. Le service, délivré via l’entreprise de cybersécurité Netcraft, repose sur des informations publiques et des scans Internet. Le NCSC identifiera les organisations dépourvues de services de sécurité essentiels et les contactera avec des recommandations de mises à jour ciblées pour corriger des vulnérabilités non corrigées. Les notifications peuvent porter sur des CVE spécifiques ou des problèmes généraux comme l’usage d’une chiffrement faible. Les observations se basent notamment sur les numéros de version exposés publiquement, et l’activité est menée en conformité avec le Computer Misuse Act. ...

Selon Next INpact, Microsoft a corrigé en novembre (Patch Tuesday) CVE-2025-9491, un problème lié aux fichiers LNK que l’éditeur ne considérait pas comme une vulnérabilité, bien qu’il ait été activement exploité depuis 2017. 🧩 Nature de la vulnérabilité: les fichiers .LNK permettent jusqu’à 32 000 caractères dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boîte de dialogue Propriétés. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delà de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intégralité de la commande Target, quelle que soit sa longueur. ...

Source: SEQRITE — Dans une analyse technique, l’équipe APT de SEQRITE documente « Operation DupeHike », une campagne active depuis novembre 2025 (cluster UNG0902) ciblant des entités corporatives russes, notamment les services RH, paie et administration. 🎯 Le leurre s’appuie sur des documents PDF à thème « bonus annuel » distribués via une archive ZIP. Le fichier malveillant est une raccourci LNK déguisé en PDF qui exécute PowerShell pour télécharger et lancer l’implant DUPERUNNER (C++), lequel déploie ensuite un beacon AdaptixC2. ...

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️ ...