Posts

L’article publié par Sucuri analyse une campagne de malware ciblant WordPress, qui exploite les conteneurs Google Tag Manager (GTM) pour rediriger les utilisateurs vers des domaines de spam. Les chercheurs en sécurité ont découvert que cette attaque injecte des scripts GTM malveillants directement dans la base de données WordPress, plutôt que dans les fichiers de thème, rendant ainsi la détection plus difficile. La campagne a déjà affecté plus de 200 sites web et utilise le domaine légitime googletagmanager.com pour contourner les filtres de sécurité. ...

L’article de ictjournal.ch rapporte le démantèlement d’un botnet utilisé par le groupe de hackers pro-russe Noname057(16), impliqué dans des attaques DDoS contre des infrastructures critiques en Occident, y compris en Suisse. Le Ministère public de la Confédération suisse (MPC) a émis trois mandats d’arrêt après une opération coordonnée par Europol, impliquant plusieurs pays. Bien que des équipements aient été saisis et des arrestations effectuées, aucun ordinateur ou individu en Suisse n’a été directement lié aux attaques. ...

Selon un article de BleepingComputer, le malware Matanbuchus est actuellement distribué à travers des appels sur Microsoft Teams. Les attaquants se font passer pour un service d’assistance informatique, exploitant ainsi la confiance des utilisateurs pour les inciter à installer le malware. Cette méthode repose sur des techniques d’ingénierie sociale, où les cybercriminels contactent directement les victimes potentielles via des appels sur Microsoft Teams. En se faisant passer pour des membres de l’équipe informatique, ils parviennent à convaincre les utilisateurs de suivre des instructions qui mènent à l’installation du malware. ...

L’article de KrebsOnSecurity rapporte une fuite de données majeure chez Paradox.ai, causée par une infection au malware Nexus Stealer sur l’appareil d’un développeur vietnamien. Le malware a permis l’exfiltration de mots de passe stockés, de cookies d’authentification et de données de navigation, exposant les informations personnelles de millions de candidats à l’emploi chez McDonald’s et des mots de passe faibles pour des comptes de clients Fortune 500. La compromission a révélé des faiblesses systémiques en matière de sécurité, telles que de mauvaises pratiques de gestion des mots de passe, la réutilisation des identifiants sur plusieurs systèmes d’entreprise, et la compromission de jetons d’authentification pour les plateformes Okta SSO et Atlassian. ...

L’article publié par BleepingComputer rapporte que Google a intenté une action en justice contre les opérateurs anonymes du botnet Android BadBox 2.0. Google accuse ces opérateurs de mener un schéma de fraude publicitaire à l’échelle mondiale, ciblant les plateformes publicitaires de l’entreprise. Cette action en justice vise à perturber les activités malveillantes qui exploitent les appareils Android pour générer des revenus illicites grâce à des clics frauduleux sur des publicités. ...

L’article publié par socket.dev met en lumière les implications du Cyber Resilience Act (CRA) de l’UE, qui entrera en vigueur début 2027, sur les mainteneurs de logiciels open source. Ce règlement impose aux fabricants de produits numériques vendus dans l’UE de mettre en place un suivi des vulnérabilités, des capacités de réponse aux incidents et des déclarations de la chaîne d’approvisionnement, y compris un Software Bill of Materials (SBOM). Les entreprises utilisant des composants open source, tels que libcurl, doivent effectuer une diligence raisonnable sur leurs dépendances, ce qui conduit à l’envoi de questionnaires de sécurité formels aux mainteneurs en amont. ...

Cet article, publié le 18 juillet 2025, met en lumière le groupe Qilin, un acteur significatif dans le domaine des cybermenaces. Initialement observé en juillet 2022 sous le nom d’Agenda ransomware, le groupe a été rebaptisé Qilin en septembre de la même année. Depuis février 2023, Qilin a évolué pour opérer en tant que Ransomware-as-a-Service (RaaS). Ce modèle permet à divers affiliés d’utiliser leur infrastructure pour mener des attaques de ransomware, en échange d’une part des rançons collectées. ...

La police japonaise a annoncé le développement d’un outil de décryptage pour le ransomware Phobos/8Base. Cet outil est disponible en téléchargement gratuit sur le site de la NPA (National Police Agency) et vise à aider les victimes à récupérer leurs données sans avoir à payer de rançon. Le ransomware Phobos/8Base est connu pour chiffrer les données des victimes et exiger une rançon pour leur décryptage. Cette initiative de la police japonaise représente un pas important dans la lutte contre les cybercriminels en fournissant une solution directe aux victimes. ...

Cet article publié par Enea présente une nouvelle technique d’attaque par contournement du protocole SS7, mise en lumière par leur équipe d’experts en renseignement sur les menaces. SS7 est un protocole utilisé par les opérateurs mobiles pour échanger des informations, et le TCAP (Transaction Capabilities Application Part) est une couche de ce protocole qui transporte des données d’application. Cette couche est codée en ASN.1 BER, offrant une certaine flexibilité qui a été exploitée par des attaquants. ...

L’article publié par Ben Nahorney et Brandon Overstreet le 17 juillet 2025, met en lumière une nouvelle technique d’attaque exploitée par le groupe PoisonSeed pour contourner les clés FIDO, un outil de MFA (authentification multifactorielle) réputé pour sa sécurité. PoisonSeed utilise une méthode d’ingénierie sociale pour exploiter la fonctionnalité de connexion multi-appareils des clés FIDO. Cette attaque commence par un phishing où les victimes sont incitées à entrer leurs identifiants sur une fausse page de connexion. Une fois les informations volées, les attaquants demandent une connexion multi-appareils, générant un QR code que l’utilisateur scanne avec son application d’authentification MFA, permettant ainsi aux attaquants d’accéder au compte compromis. ...