Exfiltration De Données

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Selon Reuters, BleepingComputer et The Register, Nike enquête sur une possible intrusion après qu’un groupe nommé World Leaks a revendiqué l’exfiltration d’environ 1,4 To de fichiers internes et publié brièvement des éléments avant de les retirer. Le groupe affirme avoir volé près de 1,4 To (environ 190 000 documents) et en a diffusé une partie sur un site de leaks avant un retrait rapide. Nike indique enquêter sans confirmer la réalité du vol ni l’authenticité des fichiers publiés. ...

Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc Aspects techniques clés 🔧 ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source: BleepingComputer (Sergiu Gatlan), 30 décembre 2025, mise à jour le 2 janvier. L’ESA a confirmé une intrusion visant des serveurs externes à son réseau d’entreprise, liés à des activités d’ingénierie collaborative et contenant des informations non classifiées. 🚨 Selon des revendications publiées sur BreachForums, l’acteur malveillant dit avoir eu accès pendant une semaine aux serveurs JIRA et Bitbucket de l’ESA, avec à l’appui des captures d’écran. Il affirme avoir volé plus de 200 Go de données, incluant du code source, des pipelines CI/CD, des jetons API et d’accès, des documents confidentiels, des fichiers de configuration, des fichiers Terraform, des fichiers SQL et des identifiants en dur. 🛰️ ...

Selon BleepingComputer (Lawrence Abrams), des membres se présentant comme « Scattered Lapsus$ Hunters » (SLH) ont revendiqué l’intrusion dans les systèmes de Resecurity et la vol de données internes, tandis que la société affirme que seuls des environnements leurres (honeypots) avec données factices ont été touchés et instrumentés à des fins de suivi. — Contexte et revendications — • Les acteurs ont publié des captures d’écran sur Telegram, affirmant avoir obtenu des « chats internes », des données d’employés, des rapports de renseignement et une liste de clients. • Parmi les preuves, une capture semblant montrer une instance Mattermost avec des échanges entre employés de Resecurity et du personnel de Pastebin au sujet de contenus malveillants. • Les acteurs disent agir en représailles à des tentatives présumées d’ingénierie sociale de Resecurity à leur encontre (simulation d’acheteurs d’une base de données financière vietnamienne). • Le porte-parole de ShinyHunters a indiqué à BleepingComputer ne pas être impliqué dans cette activité, malgré l’usage du label « Scattered Lapsus$ Hunters ». ...

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se présentant comme un fork de “@whiskeysockets/baileys”. Le module, téléchargé plus de 56 000 fois, fonctionne réellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans éveiller de soupçons tout en dérobant des données sensibles. – Le package vole des jetons d’authentification, des clés de session WhatsApp, l’historique des messages (passés et présents), les annuaires de contacts (numéros) ainsi que les fichiers média et documents. Il maintient en outre un accès persistant aux comptes compromis. ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...