PHALT#BLYX : fausses BSOD et MSBuild dĂ©tournĂ© pour dĂ©ployer DCRat contre l’hĂŽtellerie europĂ©enne

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisĂ©e PHALT#BLYX ciblant le secteur de l’hĂŽtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux Ă©cran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. ‱ Le flux d’infection repose sur un email de phishing « annulation de rĂ©servation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussĂ© Ă  cliquer « Refresh », un faux BSOD s’affiche et l’invite Ă  coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script tĂ©lĂ©charge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exĂ©cutĂ© par msbuild.exe pour dĂ©rouler la suite de l’infection. ...

6 janvier 2026 Â· 3 min

Plus de 10 000 pare-feu Fortinet encore vulnérables à un contournement MFA (CVE-2020-12812)

Cyber Security News rapporte dĂ©but janvier 2026 que The Shadowserver Foundation a ajoutĂ© la vulnĂ©rabilitĂ© Fortinet CVE-2020-12812 Ă  son rapport quotidien des services HTTP vulnĂ©rables, confirmant plus de 10 000 pare-feu FortiGate exposĂ©s dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 Ă  6.2.3, et 6.0.9 et antĂ©rieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un dĂ©calage de sensibilitĂ© Ă  la casse entre FortiGate (utilisateurs locaux sensibles Ă  la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles Ă  la casse), ce qui autorise l’authentification par appartenance Ă  un groupe sans demander le deuxiĂšme facteur. La vulnĂ©rabilitĂ© figure depuis 2021 au catalogue CISA KEV aprĂšs un usage par des acteurs de ransomware. ...

6 janvier 2026 Â· 2 min

Ransomware: le comté de Leduc annonce une attaque ayant désactivé des systÚmes IT

Selon un communiquĂ© du comtĂ© de Leduc publiĂ© dimanche aprĂšs-midi, la collectivitĂ© a Ă©tĂ© la cible d’une attaque dĂ©libĂ©rĂ©e de type ransomware. Le comtĂ© indique avoir pris connaissance de l’incident le 25 dĂ©cembre, et que l’attaque a dĂ©sactivĂ© certains systĂšmes informatiques. Faits marquants : Type d’attaque : ransomware 🔐 Nature : attaque dĂ©libĂ©rĂ©e Date de dĂ©tection : 25 dĂ©cembre Impact : dĂ©sactivation de certains systĂšmes IT du comtĂ© Il s’agit d’une annonce d’incident, dont le but principal est d’informer le public de l’attaque et de ses effets sur les systĂšmes IT. ...

6 janvier 2026 Â· 1 min

Telegram : des marchés sinophones dopent les escroqueries crypto et le blanchiment à prÚs de 2 Md$ par mois

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchĂ©s noirs sinophones sur Telegram liĂ©s aux escroqueries crypto et Ă  des services de blanchiment. L’écosystĂšme des places de marchĂ© Telegram destinĂ©es aux escrocs crypto sinophones est dĂ©crit comme « plus vaste que jamais ». AprĂšs une brĂšve baisse consĂ©cutive au bannissement par Telegram de deux des plus grands marchĂ©s dĂ©but 2025, les deux plateformes en tĂȘte, Tudou Guarantee et Xinbi Guarantee, faciliteraient Ă  elles deux prĂšs de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (donnĂ©es volĂ©es, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

6 janvier 2026 Â· 2 min

Trust Wallet relie le vol de 8,5 M$ touchant 2 500 portefeuilles Ă  l’attaque « Sha1-Hulud »

Selon BleepingComputer, Trust Wallet pense que la compromission de son navigateur web, utilisĂ©e pour voler des fonds d’utilisateurs, est probablement liĂ©e Ă  une attaque « industry‑wide » baptisĂ©e Sha1-Hulud survenue en novembre. L’incident a conduit au vol d’environ 8,5 millions de dollars depuis plus de 2 500 portefeuilles crypto. La compromission Ă©voquĂ©e concerne le navigateur web associĂ© Ă  Trust Wallet. L’entreprise fait le lien avec l’attaque « Sha1-Hulud » qualifiĂ©e d’industry‑wide, suggĂ©rant une campagne plus large ayant touchĂ© plusieurs acteurs en novembre. ...

6 janvier 2026 Â· 1 min

WhiteLeaks : 8 000 profils et 100 Go de données de sites suprémacistes exposés

Cybernews rapporte qu’un journaliste d’investigation, se prĂ©sentant sous le pseudonyme « Martha Root », a infiltrĂ© la plateforme de rencontre suprĂ©maciste WhiteDate ainsi que deux sites associĂ©s (WhiteChild, WhiteDeal), exfiltrant plus de 8 000 profils et 100 Go de donnĂ©es dans une fuite baptisĂ©e « WhiteLeaks ». L’enquĂȘte met en cause une fuite de donnĂ©es 🔓 rendue possible par une hygiĂšne de sĂ©curitĂ© trĂšs faible des sites. Un site vitrine, okstupid.lol, affiche sur une carte đŸ—ș les profils exposĂ©s Ă  travers le monde. ...

6 janvier 2026 Â· 2 min

Zestix/Sentap vend des accÚs cloud volés : ~50 entreprises compromises faute de MFA

Selon Infostealers.com, dans une enquĂȘte menĂ©e par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accĂšs et des jeux de donnĂ©es exfiltrĂ©s depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accĂšs provient d’identifiants rĂ©coltĂ©s par des malwares infostealers et d’un dĂ©faut d’authentification multifacteur (MFA), sans exploitation de zĂ©ro‑day. ‱ Vecteur et impact đŸ”âš ïž L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrĂ©gation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protĂ©gĂ©es par MFA. Des identifiants anciens non rĂ©voquĂ©s figurent dans les logs depuis des annĂ©es, permettant des intrusions diffĂ©rĂ©es. Les cibles couvrent l’aviation, la dĂ©fense/robotique, les infrastructures critiques, la santĂ©, les rĂ©seaux tĂ©lĂ©coms et des cabinets juridiques. ...

6 janvier 2026 Â· 3 min

đŸȘČ Semaine 1 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2025-12-28 → 2026-01-04. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2025-14847 CVSS: 7.5 EPSS: 65.77% VLAI: High (confidence: 0.9146) CISA: KEV ProduitMongoDB Inc. — MongoDB Server PubliĂ©2025-12-19T11:00:22.465Z Mismatched length fields in Zlib compressed protocol headers may allow a read of uninitialized heap memory by an unauthenticated client. This issue affects all MongoDB Server v7.0 prior to 7.0.28 versions, MongoDB Server v8.0 versions prior to 8.0.17, MongoDB Server v8.2 versions prior to 8.2.3, MongoDB Server v6.0 versions prior to 6.0.27, MongoDB Server v5.0 versions prior to 5.0.32, MongoDB Server v4.4 versions prior to 4.4.30, MongoDB Server v4.2 versions greater than or equal to 4.2.0, MongoDB Server v4.0 versions greater than or equal to 4.0.0, and MongoDB Server v3.6 versions greater than or equal to 3.6.0. ...

4 janvier 2026 Â· 21 min

Brouillage et spoofing GPS en forte hausse : modernisation et alternatives PNT en marche

Selon Undark Magazine (24 dĂ©c. 2025), la dĂ©pendance mondiale au GPS rĂ©vĂšle une vulnĂ©rabilitĂ© croissante aux brouillages et Ă  l’usurpation de signaux (spoofing), avec des impacts concrets sur l’aviation et d’autres infrastructures, poussant administrations et industriels Ă  moderniser le systĂšme et Ă  dĂ©velopper des alternatives. 🚹 Cas marquant: en septembre 2025, un vol WiderĂže a dĂ» interrompre son atterrissage Ă  VardĂž (NorvĂšge) lors de manƓuvres militaires russes « Zapad‑2025 », en raison d’interfĂ©rences GPS suspectĂ©es. Dans le Finnmark, ces perturbations sont quasi continues depuis l’invasion de l’Ukraine. À l’échelle mondiale, des hotspots sont observĂ©s (Myanmar, mer Noire, sud du Texas), et des usages civils dĂ©tournĂ©s existent (chauffeurs routiers, triche dans des jeux AR). ...

4 janvier 2026 Â· 3 min

ConsentFix/AuthCodeFix : dĂ©tournement du flux OAuth (code d’autorisation) contre Microsoft Entra

Selon la publication du 31/12/2025, une attaque baptisĂ©e “ConsentFix” (aussi appelĂ©e “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. DĂ©couverte dans la nature par PushSecurity (Ă©volution de ClickFix), une variante dĂ©montrĂ©e par John Hammond supprime mĂȘme l’étape de copier-coller au profit d’un glisser‑dĂ©poser de l’URL contenant le code. Pourquoi cela fonctionne đŸ§© L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigĂ© vers un URI de rĂ©ponse local (ex. http://localhost:3001) qui contient le paramĂštre sensible “code” (valide environ 10 minutes) et Ă©ventuellement “state”. En l’absence d’application Ă©coutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant rĂ©cupĂšre. Il l’échange ensuite pour des tokens (access/ID/refresh) et accĂšde Ă  la ressource. Ce mĂ©canisme explique pourquoi l’attaque semble contourner les exigences de conformitĂ© d’appareil et certaines politiques d’AccĂšs conditionnel, car elle abuse d’un flux OAuth lĂ©gitime. DĂ©tection et signaux 🔎 ...

4 janvier 2026 Â· 4 min
Derniùre mise à jour le: 6 juillet 2026 📝