Posts

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. • Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués. ...

Selon Swisscybersecurity.net, l’éditeur suisse de logiciels métiers Soreco (Schwerzenbach, Zurich) confirme à Inside-IT avoir été victime d’un ransomware, tout en affirmant un impact minimal sur ses opérations et en refusant de céder aux demandes de rançon. Sur le Dark Web, le groupe nommé Bravox revendique l’attaque et affirme avoir exfiltré 118,2 Go de données (source: Ransomware.live). D’après le portail de sécurité SOCradar, cette cybercriminalité est apparue pour la première fois en janvier 2026, compte peu de victimes à date et agirait principalement pour des motifs financiers. ...

Contexte: Décision du 23 février 2026 rendue par le juge Sam A. Lindsay (United States District Court for the Northern District of Texas) dans un litige opposant CiCi Enterprises, LP à HSB Specialty Insurance Company. ⚖️ Le tribunal a jugé que l’avenant de sous‑limite ransomware ne limitait pas la responsabilité de l’assureur au titre de la couverture d’extorsion cyber, donnant raison à l’assuré. Le juge a rappelé qu’un avenant doit « dire ce qu’il veut dire » et que le tribunal ne comblera pas les vides rédactionnels au bénéfice de l’assureur. ...

Selon la source citée, une vulnérabilité de sévérité maximale affecte la plateforme d’assistance FreeScout, permettant une exécution de code à distance (RCE) sans aucune interaction utilisateur ni authentification. ⚠️ Points clés résumés : Produit concerné : FreeScout (plateforme helpdesk) Type de vulnérabilité : RCE de sévérité maximale Impact : prise de contrôle à distance potentielle Conditions d’exploitation : aucune interaction, aucune authentification requise IOCs et TTPs : IOCs : non fournis dans l’extrait TTPs : exploitation d’une RCE sans interaction et sans authentification Il s’agit d’un article d’information sur une vulnérabilité, visant à signaler l’existence et la gravité du problème. ...

Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse détaillée (04/03/2026) du réseau Doppelgänger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence. L’étude présente une architecture d’influence industrielle, centrée sur l’usurpation de marques médias à grande échelle et ancrée autour du hub narratif RRN (Reliable Recent News). Le réseau est conçu pour la résilience et la scalabilité, privilégie des TLD à faible coût/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuité opérationnelle malgré les saisies. ...

Selon Malwarebytes, une campagne d’ingénierie sociale imite une page « Google Account Security » pour pousser les victimes à installer un PWA et, pour celles qui obéissent à tous les prompts, un APK Android déguisé en mise à jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routé via Cloudflare. Le flux web en 4 étapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sélection et l’envoi de contacts via le Contact Picker API, puis l’accès à la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installé, le script de page lit le presse-papiers lors des événements de focus/visibilité, tente d’intercepter les SMS via WebOTP, dresse une empreinte détaillée du device et effectue un heartbeat toutes les 30 s. ...

Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. • Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...

Selon Qrator Research Lab (26 février 2026), un nouveau loader de botnet nommé Aeternum C2 exploite la blockchain Polygon pour héberger ses commandes de contrôle, contournant les méthodes classiques de démantèlement. Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalité est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hôtes infectés lisent via des endpoints RPC publics. L’opérateur pilote le tout via un panneau web : sélection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis écriture on-chain. Les commandes sont confirmées sur la chaîne et diffusées aux bots en 2 à 3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun lié à une adresse Polygon. ...

Selon la documentation du projet publiée sur GitHub, “apimspray” est un toolkit de password spraying ciblant Entra ID, destiné à la recherche autorisée et au Red Teaming. 🧰 Description et prérequis Outil spécialisé pour Entra ID (Azure AD), utilisant des passerelles Azure API Management (APIM) comme couche de proxy distribué et rotatif (IP rotating). Prérequis : Azure CLI (az) et abonnement Azure actif pour déployer des ressources APIM en tier Consumption (coût annoncé négligeable pour de courts tests, typiquement < 0,01 $). Installation/prise en main: clonage du dépôt, installation des dépendances Python, session Azure CLI authentifiée, exécution depuis Azure Cloud Shell possible. 🏗️ Déploiement des passerelles ...