Posts

🔍 Contexte Publié le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mécanisme de contournement de l’Application-Bound Encryption (ABE) implémenté dans le stealer Vidar, version 2.1. 🧩 Technique de bypass ABE Vidar adopte une approche similaire à Remus/Lumma en extrayant la v20_master_key directement depuis la mémoire du navigateur, mais avec une méthode distincte en deux phases : Phase 1 – Localisation de la clé en mémoire Si le navigateur est déjà en cours d’exécution, Vidar crée un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mémoire statique (copy-on-write, sans threads). Si aucun navigateur n’est actif, Vidar crée un bureau isolé (CreateDesktopA) nommé v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank. Jusqu’à 64 processus navigateur sont énumérés et traités indépendamment. La mémoire est scannée via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les régions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 régions). Le scan parallèle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant à un nœud de Chromium::Encryptor::KeyRing. Un système de vote majoritaire filtre les candidats. Phase 2 – Déchiffrement via injection APC La clé est protégée par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nécessitant une exécution depuis le processus navigateur. Vidar sélectionne l’une de deux méthodes d’injection APC selon la présence d’ESET ou Bitdefender : Méthode « classic » (si ESET/Bitdefender détecté) : création d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread. Méthode « special » (sinon) : énumération des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exécution immédiate, sans état alertable requis). La routine APC injectée est CryptUnprotectMemory appelée avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS. Vidar crée un second fork pour lire la clé déchiffrée et vérifie via déchiffrement AES-256-GCM (BCryptDecrypt). Après lecture, Vidar réinjecte CryptProtectMemory pour restaurer l’état du navigateur. En cas d’échec total, Vidar termine tous les processus navigateur, les redémarre et répète le cycle. 📌 IoC SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a 📄 Nature de l’article Il s’agit d’une publication de recherche technique à visée CTI, documentant précisément les mécanismes internes d’un stealer actif pour permettre la détection et la compréhension de ses techniques d’évasion. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-06-14 → 2026-06-21. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20253 CVSS: 9.8 EPSS: 10.04% VLAI: Critical (confidence: 0.8499) CISA: KEV ProduitSplunk — Splunk Enterprise Publié2026-06-10T17:16:21.242Z In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service. ...

📉 208 revendications cette semaine (-45, -17.8% par rapport à S24) Période : 15.06.2026 au 21.06.2026 Analyse Ransomware — Semaine 25 / 2026 (15 – 21 juin 2026) Source : eCrime.ch — Données de revendications publiques Vue d’ensemble La semaine 25 enregistre 208 revendications de rançongiciels, soit une baisse de 45 cas par rapport à la semaine précédente (S24 : 253 revendications), représentant un recul de 17,8 %. Cette diminution fait suite à une semaine S24 marquée par un volume inhabituellement élevé, en grande partie attribuable à l’activité massive du groupe DeadLock (74 revendications à lui seul). Le niveau actuel s’inscrit dans une fourchette plus conforme aux volumes observés sur les semaines antérieures. ...

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud. 🦠 Caractéristiques techniques du malware L’encrypteur présente plusieurs caractéristiques techniques notables : ...

🔍 Contexte Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels. 🎯 Accès initial et persistance L’accès initial est vraisemblablement obtenu via des identifiants RDP volés Le payload principal, servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès Un compte administrateur backdoor assure la persistance Les attaquants privilégient les outils légitimes (RMM, living-off-the-land) 🔐 Stratégie de chiffrement Malware développé en Go Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique Parcours récursif des répertoires sans limite de profondeur ni exclusion Extension utilisée pour les fichiers chiffrés : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation aléatoire par fichier Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256 Avec le flag --delete : vérification de déchiffrabilité avant suppression du fichier original La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime 🚫 Absence de note de rançon Aucune note de rançon déposée sur le système, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web) Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion 👥 Victimes et modèle opérationnel Pas de modèle RaaS, pas de recrutement d’affiliés identifié Au moins 5 victimes identifiées par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de données Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée 📄 Type d’article Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware. ...

🔍 Contexte Source : BleepingComputer, publié le 16 juin 2026. La société Aikido Security a découvert une campagne malveillante coordonnée ciblant les développeurs via le JetBrains Marketplace, la place de marché officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.). 🎯 Nature de l’attaque Au moins 15 plugins malveillants, publiés sous 7 comptes vendeurs distincts, ont été identifiés. Ces plugins se présentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncé mais intègrent un comportement caché d’exfiltration de credentials. ...

🔍 Contexte Publié le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article présente une analyse technique détaillée du botnet AryStinger, découvert le 12 mars 2026 via le système de surveillance réseau XLab. 🎯 Campagne et vecteurs d’infection Les attaquants exploitent des vulnérabilités anciennes pour compromettre des équipements réseau : CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basés sur les puces RTL819X (ère 2012-2015) CVE-2025-11837 : ciblant des périphériques NAS (détecté le 26 avril 2026) Le vecteur initial est un script shell téléchargeant et exécutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com. ...

🗓️ Contexte Source : SecurityWeek, article de Eduard Kovacs publié le 15 juin 2026. L’incident a été rendu public le 10 juin 2026 par Mackay Sugar, deuxième producteur de sucre brut d’Australie, opérant trois moulins de traitement de canne à sucre dans le Queensland. 🎯 Incident Mackay Sugar a été victime d’une attaque ransomware menée par le groupe The Gentlemen (suivi par Microsoft sous le nom Storm-2697). L’attaque a provoqué l’arrêt d’au moins deux des trois moulins de l’entreprise, perturbant les opérations de broyage, d’approvisionnement en canne et de logistique. ...

🗓️ Contexte Source : Zscaler ThreatLabz via Cyber Security News, publié le 19 juin 2026. L’activité malveillante a été détectée pour la première fois le 14 mai 2026, lors d’un pic inhabituel de trafic lié au groupe SmartApeSG. 🎯 Nature de l’attaque Il s’agit d’une attaque de chaîne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisé par plus de 18 000 marques dans le monde. En ciblant ce widget plutôt que chaque site individuellement, les attaquants ont maximisé leur portée sans avoir à compromettre chaque site séparément. ...