Exfiltration De Données

Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc Aspects techniques clés 🔧 ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source: BleepingComputer (Sergiu Gatlan), 30 décembre 2025, mise à jour le 2 janvier. L’ESA a confirmé une intrusion visant des serveurs externes à son réseau d’entreprise, liés à des activités d’ingénierie collaborative et contenant des informations non classifiées. 🚨 Selon des revendications publiées sur BreachForums, l’acteur malveillant dit avoir eu accès pendant une semaine aux serveurs JIRA et Bitbucket de l’ESA, avec à l’appui des captures d’écran. Il affirme avoir volé plus de 200 Go de données, incluant du code source, des pipelines CI/CD, des jetons API et d’accès, des documents confidentiels, des fichiers de configuration, des fichiers Terraform, des fichiers SQL et des identifiants en dur. 🛰️ ...

Selon BleepingComputer (Lawrence Abrams), des membres se présentant comme « Scattered Lapsus$ Hunters » (SLH) ont revendiqué l’intrusion dans les systèmes de Resecurity et la vol de données internes, tandis que la société affirme que seuls des environnements leurres (honeypots) avec données factices ont été touchés et instrumentés à des fins de suivi. — Contexte et revendications — • Les acteurs ont publié des captures d’écran sur Telegram, affirmant avoir obtenu des « chats internes », des données d’employés, des rapports de renseignement et une liste de clients. • Parmi les preuves, une capture semblant montrer une instance Mattermost avec des échanges entre employés de Resecurity et du personnel de Pastebin au sujet de contenus malveillants. • Les acteurs disent agir en représailles à des tentatives présumées d’ingénierie sociale de Resecurity à leur encontre (simulation d’acheteurs d’une base de données financière vietnamienne). • Le porte-parole de ShinyHunters a indiqué à BleepingComputer ne pas être impliqué dans cette activité, malgré l’usage du label « Scattered Lapsus$ Hunters ». ...

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se présentant comme un fork de “@whiskeysockets/baileys”. Le module, téléchargé plus de 56 000 fois, fonctionne réellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans éveiller de soupçons tout en dérobant des données sensibles. – Le package vole des jetons d’authentification, des clés de session WhatsApp, l’historique des messages (passés et présents), les annuaires de contacts (numéros) ainsi que les fichiers média et documents. Il maintient en outre un accès persistant aux comptes compromis. ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...

Selon une publication de recherche de Koi (blog Koi.ai) datée du 16 décembre 2025, des extensions populaires marquées comme mises en avant sur les stores Chrome et Edge interceptent et exfiltrent des conversations d’IA à grande échelle. 🔍 Découverte et portée Koi, via son moteur de risque Wings, a identifié Urban VPN Proxy (plus de 6 M d’utilisateurs, badge Featured) comme collectant par défaut les conversations sur plusieurs plateformes d’IA, dont ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI. La même logique de collecte apparaît dans sept autres extensions du même éditeur, totalisant plus de 8 millions d’utilisateurs. ...

Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système. 🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration. 1) Fait principal Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet. Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système. Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre). 2) Vulnérabilités exploitées 🔴 CVE-2025-59718 Type : contournement d’authentification FortiCloud SSO Produits affectés : FortiOS FortiProxy FortiSwitchManager Cause : mauvaise vérification cryptographique des signatures SAML Impact : connexion possible sans authentification valide via une assertion SAML malveillante 🔴 CVE-2025-59719 Type : contournement d’authentification FortiCloud SSO Produit affecté : FortiWeb Cause : faille similaire dans la validation des signatures SAML Impact : accès administrateur non authentifié via SSO forgé 📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé ⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite. ...