Posts

L’article de therecord.media relate l’arrestation et la condamnation de Christina Chapman, une femme de l’Arizona, pour son rôle dans une opération de fraude informatique orchestrée par la Corée du Nord. Chapman a plaidé coupable à des accusations de fraude électronique, blanchiment d’argent et vol d’identité après avoir aidé des travailleurs informatiques nord-coréens à obtenir des emplois dans 309 entreprises américaines, y compris des entreprises technologiques de premier plan. Les travailleurs nord-coréens, utilisant de fausses identités, ont pu accéder aux réseaux informatiques des entreprises américaines via des ordinateurs portables hébergés chez Chapman. Plus de 90 ordinateurs portables ont été saisis par le FBI lors d’une perquisition en octobre 2023. ...

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...

Le blog d’Expel a publié une mise à jour importante concernant une erreur dans un article sur une attaque de phishing, initialement publié le 17 juillet 2025. L’article original affirmait qu’une nouvelle forme d’attaque de phishing permettait à un attaquant de contourner une connexion protégée par une clé FIDO en utilisant une authentification cross-device, même sans proximité avec le dispositif authentifiant. Cependant, après consultation avec la communauté de la sécurité, Expel a reconnu que cette affirmation était incorrecte. ...

L’article de VulnCheck met en lumière une nouvelle méthode d’exploitation de la vulnérabilité CVE-2021-36260, une faille d’injection de commande dans les systèmes Hikvision. Cette vulnérabilité est largement exploitée par des groupes de menaces avancées tels que Flax Typhoon et Fancy Bear. Traditionnellement, cette faille est exploitée pour déposer et exécuter des binaires malveillants, mais les systèmes Hikvision ne disposent pas des outils classiques comme curl ou wget pour télécharger des fichiers distants. VulnCheck a observé une attaque utilisant une approche innovante : le montage d’un partage NFS distant pour exécuter un fichier, contournant ainsi les limitations habituelles. ...

Un incident de sécurité impliquant plusieurs entités du groupe Mineralogy et Queensland Nickel a été annoncé sur le site de la société minière australienne Mineralogy. L’incident s’est produit le 23 juin 2025, lorsqu’une attaque par ransomware a entraîné un accès non autorisé aux serveurs de ces entreprises. Les entités affectées comprennent notamment Queensland Nickel Group, Waratah Coal Pty Ltd, Central Queensland Coal, Gladstone Pacific Nickel Limited, ainsi que d’autres sociétés affiliées telles que Palmer Coolum Resort et Blue Star Line. Cette attaque a potentiellement compromis des informations personnelles détenues par ces entités. ...

Selon un article de nbcnews.com, des hackers ont compromis l’application Tea, une plateforme populaire permettant aux femmes de discuter des hommes. Cette attaque a entraîné la fuite en ligne de dizaines de milliers de photos appartenant aux utilisatrices. Un porte-parole de Tea a confirmé la violation de données vendredi après-midi. L’entreprise estime que 72 000 images, dont 13 000 photos de vérification et images de pièces d’identité, ont été accédées par les attaquants. ...

TechCrunch rapporte que Google a suspendu l’opération de spyware Catwatchful, qui utilisait les serveurs de Google pour fonctionner. Cette décision intervient un mois après que TechCrunch ait alerté Google sur l’hébergement de cette opération sur Firebase, une plateforme de développement de Google. Catwatchful, présenté comme une application de surveillance pour enfants, était en réalité un spyware Android qui restait caché sur l’écran d’accueil de la victime. Il collectait et transmettait des données privées telles que des messages, des photos et des données de localisation à un tableau de bord accessible par l’installateur du spyware. ...

L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage. Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus. ...

Cet article publié sur le site SafeBreach explique les nouvelles exigences imposées par l’Acte de Résilience Opérationnelle Numérique (DORA) de l’Union Européenne, qui vise à renforcer la résilience opérationnelle des institutions financières contre les menaces cybernétiques. La mise en application complète de cette réglementation commence en janvier 2025. DORA impose aux organisations de mettre en place des contrôles basés sur cinq piliers clés : la gestion des risques TIC, le rapport d’incidents, les tests de résilience opérationnelle, la gestion des risques tiers, et le partage d’informations. Ces mesures s’appliquent globalement, affectant toute entité fournissant des services TIC aux entreprises financières de l’UE. ...

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...