Infostealer

🗓️ Contexte Source : BleepingComputer, publié le 9 mai 2026. Découverte signalée par les chercheurs de HiddenLayer le 7 mai 2026, portant sur une campagne de distribution de malware via la plateforme Hugging Face. 🎯 Vecteur d’attaque Un dépôt malveillant nommé Open-OSS/privacy-filter a été créé sur Hugging Face en typosquattant le projet légitime « Privacy Filter » d’OpenAI. La carte du modèle (model card) était copiée quasi-verbatim. Le dépôt a brièvement atteint la première place du classement trending de la plateforme et accumulé 244 000 téléchargements avant sa suppression. ...

🔍 Contexte Publié le 6 mai 2026 par Socket’s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulé environ 64 784 téléchargements toutes versions confondues. 📦 Packages malveillants identifiés Les cinq packages usurpent des bibliothèques .NET chinoises légitimes : IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothèque WinForms sur Gitee) IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothèques d’entreprise chinoises internes L’opérateur maintient 219 versions masquées (listed: false) sur 224 au total, ne laissant visible qu’une seule version à la fois pour éviter la détection. Une rotation de versions active invalide les IOCs basés sur les hashes de fichiers. ...

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

🔍 Contexte Cisco Talos a publié le 5 mai 2026 une analyse technique détaillée d’une intrusion découverte via télémétrie, active depuis au moins janvier 2026. Un attaquant inconnu a déployé un RAT modulaire nommé CloudZ ainsi qu’un plugin inédit baptisé Pheno, dans le but de voler des identifiants et potentiellement des mots de passe à usage unique (OTP). 🎯 Vecteur d’accès initial et chaîne d’infection Le vecteur d’accès initial est inconnu. La chaîne d’infection observée est la suivante : ...

🗓️ Contexte Rapport publié par Kaspersky (Olga Altukhova) le 20 avril 2026 sur Securelist, couvrant l’année 2025. Les données proviennent du Kaspersky Security Network (KSN), de sources publiques et du dark web. Le rapport analyse le phishing financier, les malwares bancaires PC et mobiles, les infostealers et l’économie souterraine associée. 🎣 Phishing financier Le phishing financier en 2025 s’est réorienté vers les plateformes numériques et le e-commerce au détriment des leurres bancaires traditionnels : ...

🗓️ Contexte Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2). 🔗 Technique d’hébergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur : ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...

🌐 Contexte L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour. 🎯 Cibles Les packages usurpent des noms associés à : Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc. Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc. Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc. 🔧 Mécanisme d’attaque La chaîne d’infection repose sur trois étapes : ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...