Infostealer

Selon BleepingComputer, des hackers affirment vendre du code source interne de Target après avoir publié un échantillon sur Gitea. Des employés actuels et anciens ont confirmé que ces éléments correspondent à des systèmes réels de l’entreprise, et Target a durci en urgence l’accès à son serveur Git interne. 🧑‍💻 Confirmation d’authenticité: des sources familières des pipelines CI/CD et de l’infrastructure de Target attestent que les noms de systèmes tels que BigRED et TAP [Provisioning], des datasets Hadoop, ainsi que des éléments de la stack (plateforme CI/CD personnalisée basée sur Vela, JFrog Artifactory) et des taxonomies internes (« blossom IDs ») présents dans l’échantillon correspondent à l’environnement réel. La présence de noms d’employés, de projets et d’URL internes renforce l’authenticité du leak. ...

Selon un bulletin de sécurité d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visé des plateformes de partage de fichiers auto‑hébergées, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volées — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des données attribuées à environ 50 organisations internationales. 🚨 Nature de la menace et impact: les attaquants ont utilisé des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installés sur des postes d’employés. Ces malwares aspirent les mots de passe stockés (navigateurs/système), ensuite revendus en masse sur des places de marché clandestines. Des cybercriminels filtrent ces bases pour identifier des accès à des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs légitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigée. 🔐 ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés. ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...