Infostealer

🔍 Contexte Publié le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite à un premier rapport sur CPUID HWMonitor et étend la portée à 11 packages trojanisés au total. 🎯 Description de la campagne Un acteur opérant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dépôt Bitbucket (amos-trading/dist-internal) hébergeant des installateurs légitimes repackagés avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant. ...

🗓️ Contexte Rapport publié le 1er juin 2026 par The Register, basé sur une étude de Check Point Software portant sur les menaces numériques ciblant les élections de mi-mandat américaines de novembre 2026. 📊 Infrastructure de domaines électoraux Entre avril 13 et mai 14 2026, Check Point a recensé : ~1 140 nouveaux domaines contenant le mot « election » ~4 010 nouveaux domaines contenant le mot « vote » Pour comparaison, en janvier 2026, environ 1 300 domaines contenaient « election » et 2 957 contenaient « vote ». ...

🔍 Contexte Publié le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article présente une analyse technique détaillée de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystème Minecraft, actif depuis janvier 2026. 🎯 Description de la campagne WeedHack se déguise en clients et mods Minecraft légitimes pour infecter ses victimes. La campagne a généré plus de 116 464 hits au total, avec une moyenne de 2 000 à 3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont été identifiés. ...

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

📰 Source : Hackread.com — Date de publication : 25 mai 2026 Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix. 🎯 Mécanisme de l’attaque Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de : ...

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

📰 Source : BleepingComputer | Date de publication : 20 mai 2026 | Contexte : Opération conjointe entre la cyberpolice ukrainienne et les forces de l’ordre américaines ciblant un opérateur d’infostealer. 🎯 Faits principaux Un suspect de 18 ans, résidant à Odessa (Ukraine), a été identifié comme opérateur d’une campagne de malware infostealer active entre 2024 et 2025. La cible principale était les utilisateurs d’une boutique en ligne basée en Californie. ...

📅 Source : Unit 42 (Palo Alto Networks), publié le 15 mai 2026. Analyse technique d’une nouvelle variante du malware Gremlin Stealer, un infostealer vendu sur des forums clandestins. 🧩 Contexte Gremlin Stealer est un infostealer ciblant les navigateurs web, le presse-papiers, les portefeuilles de cryptomonnaies, les identifiants FTP/VPN, les cookies de session et les tokens Discord. La nouvelle variante identifiée exfiltre les données vers un nouveau panneau web à l’adresse http://194.87.92.109. ...

🔍 Contexte Source : BleepingComputer, publié le 11 mai 2026. Checkmarx, société spécialisée en sécurité applicative, a alerté le week-end du 10-11 mai 2026 de la publication d’une version malveillante de son plugin Jenkins AST sur le Jenkins Marketplace. Il s’agit du troisième incident d’une série d’attaques supply-chain subies par Checkmarx depuis fin mars 2026. 🎯 Déroulement de l’attaque Le groupe TeamPCP a obtenu des credentials d’accès aux dépôts GitHub de Checkmarx lors d’une attaque antérieure sur le scanner de vulnérabilités Trivy en mars 2026. Ces credentials n’ayant pas été révoqués, les attaquants ont maintenu un accès pendant au moins un mois. ...