Posts

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect. ...

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises. Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques. ...

Selon Have I Been Pwned (HIBP), une fuite de données concernant la compagnie aérienne russe Utair, révélée en août 2020, remonte à l’année précédente et a exposé un large volume d’informations personnelles. Les données compromises incluent plus de 400 000 adresses email uniques ainsi que des informations personnelles sensibles : noms, adresses postales, dates de naissance, numéros de passeport et détails de programmes de fidélité. L’annonce met l’accent sur l’ampleur de la fuite (plus de 400 000 enregistrements) et sur la nature particulièrement sensible des données exposées, notamment les identifiants officiels et les informations de fidélité client. ...

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️ ...

Selon The Register, le ministère sud-coréen des Sciences et des TIC va imposer la vérification d’identité par reconnaissance faciale pour l’ouverture de nouvelles lignes mobiles, une mesure motivée par la recrudescence des escroqueries liées aux comptes téléphoniques créés avec des données volées. Concrètement, la mesure étend les contrôles existants (présentation de pièces d’identité en point de vente) en y ajoutant la vérification biométrique via les applications « PASS » des trois opérateurs (SK Telecom, LG Uplus, Korea Telecom), où les données faciales seront utilisées pour confirmer l’identité du client. Objectif affiché: rendre beaucoup plus difficile l’enregistrement d’un compte mobile à partir de données volées et freiner des arnaques comme le voice phishing. 📱🔐 ...

Selon franceinfo (Radio France), le parquet de Paris confirme que le groupe de hackers prorusse Noname057(16) a revendiqué la cyberattaque contre La Poste, en cours depuis lundi 22 décembre. À la suite de cette revendication, les gendarmes de l’Unité nationale cyber (UNC) et la DGSI ont été saisis de l’enquête, ouverte pour des faits d’entrave au fonctionnement d’un système de traitement automatisé de données. 🚨 Impact et perturbations: Accès aux comptes bancaires perturbé. Suivi des colis indisponible 📦. Mardi, certains services en ligne fonctionnent à nouveau, mais la situation demeure instable. Contexte sur l’acteur: Le groupe Noname057(16) a déjà été impliqué en France dans des attaques par déni de service (DDoS) contre des sites officiels (ministère de la Justice, préfectures, villes). En juillet, le parquet de Paris avait annoncé le démantèlement du service central de ce collectif, impliqué dans près de 2 200 attaques en France depuis 2023. ...

Selon un avis GitHub Security Advisory (dépôt LangChain) publié le 23 déc. 2025, une vulnérabilité critique (GHSA-c67j-w6g6-q2cm, CVE-2025-68664, CVSS 9.3) affecte les API de sérialisation/désérialisation de LangChain. Le défaut d’échappement du champ interne ’lc’ dans dumps()/dumpd() permet à des données contrôlées par un attaquant d’être interprétées comme des objets LangChain lors de load()/loads(), ouvrant la voie à l’exfiltration de secrets et à l’instanciation de classes au sein d’espaces de noms « de confiance ». ⚠️ ...

Selon Hackaday, libxml2 — une bibliothèque centrale pour le traitement XML/XSLT utilisée dans GNOME, des navigateurs web et de nombreux logiciels — a brièvement perdu son unique mainteneur après le départ programmé de Nick Wellnhofer, avant que deux nouveaux développeurs ne reprennent le projet. L’article retrace l’historique : au début des années 2000, l’auteur original Daniel Veillard passe la main à Nick Wellnhofer. Tous deux agissent comme bénévoles, avec pour tout soutien notable un don de Google, tandis que de grandes entreprises intègrent la bibliothèque et envoient des rapports de bugs. ...

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés. ...