Chasse Aux Menaces

Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré. ...

Selon SentinelLabs (blog de recherche de SentinelOne), une nouvelle catégorie de menaces émerge : des malwares « activés par LLM » qui génèrent leur logique malveillante au runtime, plutôt que de l’embarquer en clair. L’étude présente des techniques de détection basées sur la recherche de motifs de clés API et la « chasse aux prompts », permettant d’identifier des échantillons inconnus, dont « MalTerminal », potentiellement l’un des premiers malwares de ce type. ...