Posts

Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies. Points techniques clés 🔍 Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON. Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers. Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS). Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️. Impact et portée 🔐 ...

Selon Clubic, s’appuyant sur une enquête de 404 Media, TikTok Shop héberge des vendeurs de traqueurs GPS ressemblant à des AirTags, promus explicitement pour l’espionnage conjugal et la surveillance secrète. Des vidéos virales (plusieurs millions de vues) encouragent à « coller » ces dispositifs sur la voiture d’un partenaire, en présentant les traqueurs comme indétectables et offrant une surveillance mondiale via carte SIM intégrée. Les métriques de TikTok Shop indiquent des ventes importantes : l’un des modèles dépasse 32 500 unités, un autre approche 100 000. Des commentaires rapportent des usages abusifs (pose sur des voitures de femmes à la salle de sport), parfois validés par des réponses désinvoltes des vendeurs. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intégrations OAuth, avec des impacts en chaîne sur Salesforce et Google Workspace. — Ce qui s’est passé Des attaquants ont utilisé des jetons OAuth compromis pour l’intégration Drift–Salesforce entre le 8 et le 18 août 2025 afin d’exfiltrer des données de certaines instances clients Salesforce. Le 28 août, le Google Threat Intelligence Group (GTIG) a confirmé la compromission de jetons OAuth pour l’intégration “Drift Email”. Le 9 août, un acteur a utilisé ces jetons pour accéder aux emails d’un très petit nombre de comptes Google Workspace. — Impact et cibles ...

Selon BleepingComputer, Workiva, fournisseur SaaS cloud, a averti ses clients que des attaquants ayant obtenu un accès à un système de gestion de la relation client (CRM) tiers ont dérobé certaines de leurs données. ⚠️ Faits clés Type d’incident : accès non autorisé via un prestataire tiers (CRM) Impact : vol de certaines données clients Acteur/Surface affectée : clients de Workiva via un CRM externe Portée et éléments concernés Écosystème touché : SaaS Workiva en lien avec un CRM tiers. Détails opérationnels (fournisseur précis, volume de données, chronologie) : non communiqués dans l’extrait. IOCs et TTPs ...

Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500. ⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE). ...

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisés par des centaines d’intégrations tierces, facilitant une vaste campagne d’exfiltration menée par l’acteur UNC6395. • Impact et portée: des jetons permettant l’accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont été dérobés. Les organisations utilisant les intégrations Salesloft sont appelées à invalider immédiatement tous les jetons stockés et à partir du principe que leurs données sont compromises. L’incident met en lumière le risque d’‘authorization sprawl’, où des jetons légitimes permettent de circuler sans entraves entre systèmes cloud. ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source : United States Department of Justice (justice.gov). Le Bureau du procureur du District du Nouveau-Mexique et le FBI annoncent la saisie de deux domaines de marketplace et d’un blog liés à « VerifTools », utilisés pour vendre des faux permis de conduire, passeports et autres pièces d’identité à des cybercriminels afin de contourner les systèmes de vérification d’identité et obtenir des accès non autorisés à des comptes en ligne. 🚨 ...

Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine. ...