Phishing en Colombie : faux avis judiciaires diffusent AsyncRAT via SVG → HTA/VBS/PowerShell

Selon Seqrite, une campagne de phishing ciblant des utilisateurs en Colombie abuse de faux avis judiciaires en espagnol pour dĂ©livrer AsyncRAT via une chaĂźne d’infection multi‑étapes et des techniques d’évasion avancĂ©es. 🎣 Vecteur initial: e-mails usurpant le Bureau du Procureur gĂ©nĂ©ral avec piĂšce jointe SVG contenant du JavaScript, enrichis de dĂ©tails gĂ©ographiques et institutionnels pour crĂ©dibiliser l’arnaque. 🔗 ChaĂźne d’infection: le SVG dĂ©code et dĂ©pose un HTA qui exĂ©cute un dropper VBS (actualiza.vbs) lançant un PowerShell (veooZ.ps1). Celui‑ci tĂ©lĂ©charge des charges encodĂ©es depuis des URLs dpaste, dĂ©code un loader .NET (classlibrary3.dll), puis rĂ©cupĂšre un injecteur et la charge AsyncRAT. ...

13 octobre 2025 Â· 2 min

Scattered Lapsus$ Hunters lance des extorsions de vol de données ciblant les clients Salesforce

Selon Unit 42 (Palo Alto Networks), le conglomĂ©rat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mĂšne des campagnes coordonnĂ©es d’extorsion basĂ©es sur le vol de donnĂ©es contre des clients Salesforce, tout en poursuivant ses activitĂ©s malgrĂ© la saisie par le FBI de domaines liĂ©s Ă  BreachForums. ‱ Menaces et opĂ©rations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des donnĂ©es clients sans dĂ©ployer de chiffrement ni de ransomware, privilĂ©giant une extorsion par vol de donnĂ©es. Bling Libra a lancĂ© un modĂšle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opĂšre un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

13 octobre 2025 Â· 2 min

Sept ans requis contre un hacker de 19 ans pour le piratage de PowerSchool et le vol de données massives

Selon l’article, les procureurs demandent une peine de sept ans de prison contre Matthew Lane (19 ans, Massachusetts), aprĂšs son plaidoyer de culpabilitĂ© pour le piratage des bases de donnĂ©es de l’entreprise d’edtech PowerSchool et le vol de donnĂ©es Ă  grande Ă©chelle. 🎯 Cible: PowerSchool (edtech) 📩 DonnĂ©es compromises: >60 millions d’élĂšves et 9 millions d’enseignants đŸ‘€ Auteur: Matthew Lane, 19 ans ⚖ ProcĂ©dure: Plaidoyer de culpabilitĂ©; requĂȘte des procureurs: 7 ans de prison Un mĂ©mo de condamnation dĂ©posĂ© mardi indique que Lane aurait Ă©galement piratĂ© au moins sept autres victimes depuis 2021, dont des entitĂ©s gouvernementales Ă©trangĂšres. ...

13 octobre 2025 Â· 1 min

🐞 CVE les plus discutĂ©es dans la semaine 40

PĂ©riode analysĂ©e : les 7 derniers jours sur le Fediverse. DonnĂ©es collectĂ©es via CVE Crowd et enrichies avec les donnĂ©es CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 LĂ©gende : CVSS : Score de sĂ©vĂ©ritĂ© officielle. EPSS : ProbabilitĂ© d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sĂ©vĂ©ritĂ© estimĂ©e (IA). Poids social : Importance dans le Fediverse. CVE-2021-43798 [CVSS 7.5 🟧] [VLAI High 🟧] Produit : grafana grafana Score CVSS : 7.5 🟧 EPSS : 0.94438 đŸŸ„ VLAI : High 🟧 Poids social (Fediverse) : 202.0 Description : Grafana est une plateforme open-source de surveillance et d’observabilitĂ©. Les versions de Grafana allant de la 8.0.0-beta1 Ă  la 8.3.0 (Ă  l’exception des versions corrigĂ©es) sont vulnĂ©rables Ă  une attaque de traversĂ©e de rĂ©pertoire, permettant l’accĂšs Ă  des fichiers locaux. L’URL vulnĂ©rable est : <grafana_host_url>/public/plugins//, oĂč correspond Ă  l’identifiant du plugin pour n’importe quel plugin installĂ©. À aucun moment, Grafana Cloud n’a Ă©tĂ© vulnĂ©rable. Il est conseillĂ© aux utilisateurs de mettre Ă  jour vers les versions corrigĂ©es 8.0.7, 8.1.8, 8.2.7 ou 8.3.1. L’avis de sĂ©curitĂ© GitHub contient plus d’informations sur les chemins URL vulnĂ©rables, les mesures d’attĂ©nuation et le calendrier de divulgation. Date de publication officielle : 07 December 2021 Ă  18h25 Posts Fediverse (2 trouvĂ©s) đŸ—šïž piggo – n/d Cisa CISA added the actively exploited Grafana path traversal vulnerability (CVE-2021-43798) to its KEV catalog. IOCs: CVE-2021-43798 #CVE202143798 #Grafana #ThreatIntel ...

12 octobre 2025 Â· 9 min

Amende de 5,8 M$ contre Australian Clinical Labs aprùs l’attaque ransomware de Medlab Pathology

Selon l’actualitĂ© fournie, Medlab Pathology a subi en fĂ©vrier 2022 une attaque informatique avec demande de rançon attribuĂ©e au Quantum Group. Environ 86 Go de donnĂ©es ont Ă©tĂ© dĂ©robĂ©es puis publiĂ©es sur le dark web quatre mois plus tard, comprenant des donnĂ©es personnelles et de santĂ© de plus de 223 000 individus đŸ„đŸ”“. La maison mĂšre, Australian Clinical Labs (ACL), a Ă©tĂ© sanctionnĂ©e par la Federal Court qui a prononcĂ© une amende de 5,8 millions de dollars. La dĂ©cision est prĂ©sentĂ©e comme historique et « la premiĂšre du genre ». Un commentaire officiel souligne: “This should serve as a vivid reminder to entities, particularly providers operating within Australia’s healthcare system, that there will be consequences of serious failures to protect the privacy of those individuals whose healthcare and information they hold.” ⚖ ...

10 octobre 2025 Â· 2 min

Analyse du web shell PHP « Shin » : capacitĂ©s post‑exploitation et techniques d’évasion

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifiĂ© lors d’une rĂ©ponse Ă  incident, et met en Ă©vidence ses fonctions de compromission avancĂ©es et ses techniques d’évasion. L’outil, attribuĂ© Ă  un auteur indonĂ©sien, offre des capacitĂ©s complĂštes de post‑exploitation : navigation du systĂšme de fichiers, exĂ©cution de commandes, manipulation/Ă©dition de fichiers, modification des permissions, tĂ©lĂ©versement de fichiers, et accĂšs/gestion de bases de donnĂ©es via Adminer. Les paramĂštres sont URL‑encodĂ©s et peu obfusquĂ©s, laissant des traces dans les journaux du serveur. ...

10 octobre 2025 Â· 2 min

Campagne ClickFix: cache smuggling via cache du navigateur sous couvert d’un outil Fortinet

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour dĂ©poser un ZIP malveillant, tout en se faisant passer pour un vĂ©rificateur de conformitĂ© Fortinet. 🎣 Leurre et procĂ©dĂ© ClickFix: la page de phishing brandĂ©e Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en rĂ©alitĂ© une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. CollĂ©e dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arriĂšre-plan, la portion visible n’étant qu’un commentaire. ...

10 octobre 2025 Â· 3 min

Campagne Stealit : abus de Node.js SEA pour livrer un RAT voleur d’infos sur Windows

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalitĂ© Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper Ă  la dĂ©tection. La menace est distribuĂ©e via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎼. Stealit opĂšre comme un RAT commercial (malware-as-a-service) proposĂ© par abonnement, offrant des capacitĂ©s de vol de donnĂ©es, accĂšs Ă  distance, contrĂŽle de la webcam et dĂ©ploiement de ransomware 🐀. La campagne cible les systĂšmes Windows et maintient la persistance via des scripts Visual Basic. ...

10 octobre 2025 Â· 2 min

Coalition cybercriminelle exploite des identifiants AWS exposés aprÚs la fuite Red Hat

Selon un billet rĂ©fĂ©rencĂ© de GitGuardian, plusieurs organisations criminelles ont formĂ© une coalition pour mener des attaques cloud systĂ©matiques visant des identifiants exposĂ©s, notamment AWS, avec des campagnes d’extorsion orchestrĂ©es via une nouvelle plateforme de fuites. — Aperçu gĂ©nĂ©ral — Des groupes comme Crimson Collective, ShinyHunters et Scattered Lapsus$ Hunters coordonnent des opĂ©rations d’extorsion et d’intrusion cloud. La campagne s’appuie sur des identifiants AWS comme vecteurs d’accĂšs initiaux, exploitant la prolifĂ©ration de secrets (secrets sprawl), en particulier dans les cabinets de conseil servant de points d’agrĂ©gation d’identifiants. Le contexte inclut la fuite Red Hat exposant 570 Go issus de 28 000 dĂ©pĂŽts et affectant 800+ organisations, alimentant une exploitation en chaĂźne via un nouveau site de leaks. â˜ïžđŸ” — MĂ©thodologie d’attaque (TTPs) — ...

10 octobre 2025 Â· 2 min

Crimson Collective: nouveau groupe ciblant AWS pour l’exfiltration et l’extorsion

Source: Rapid7 Labs — Rapid7 prĂ©sente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de donnĂ©es suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dĂ©robĂ© des dĂ©pĂŽts GitLab privĂ©s. 🚹 Nature de l’attaque: le groupe exploite des clĂ©s d’accĂšs long-terme AWS divulguĂ©es, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en crĂ©ant des utilisateurs IAM et des clĂ©s d’accĂšs. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrĂŽle total. Dans les comptes moins privilĂ©giĂ©s, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

10 octobre 2025 Â· 3 min
Derniùre mise à jour le: 10 juillet 2026 📝