IOC

L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International. Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu. L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots. ...

L’article publié par GBHackers Security, un média reconnu dans le domaine de la cybersécurité, met en lumière l’émergence d’un nouveau malware nommé Crocodilus. Ce malware représente une menace croissante dans l’écosystème Android. Crocodilus est un cheval de Troie bancaire conçu pour prendre le contrôle total des appareils Android. Initialement détecté lors de campagnes de test avec un nombre limité d’instances actives, ce malware a rapidement évolué, montrant une augmentation des campagnes actives et un développement sophistiqué. ...

L’article provenant de SuspectFile, relayé par databreaches.net, met en lumière les failles de sécurité dans les négociations de rançons menées par le groupe de ransomware Akira. Akira a échoué à sécuriser son serveur de chat de négociation, permettant à quiconque connaissant l’adresse de suivre les interactions entre les victimes et le groupe. Deux cas ont été rapportés : une entreprise du New Jersey a payé 200 000 dollars après avoir reçu des assurances de confidentialité, et une entreprise allemande a négocié une réduction de la demande initiale de 6,9 millions de dollars à 800 000 dollars. ...

L’article publié sur le site de Yarix Labs discute de l’outil Doppelganger disponible sur GitHub, qui est pertinent dans le domaine de la cybersécurité. LSASS (Local Security Authority Subsystem Service) est un composant essentiel du système d’exploitation Windows, responsable de l’application de la politique de sécurité sur le système. Il joue un rôle fondamental dans l’authentification des utilisateurs en vérifiant les identités des utilisateurs et en gérant les sessions de sécurité. ...

Cyble, une entreprise spécialisée en cybersécurité, a publié de nouvelles informations concernant les groupes de ransomware les plus actifs en mai 2025. Dans ce rapport, Cyble met en avant les groupes SafePay et DevMan qui dominent actuellement la scène des ransomwares. Ces groupes sont identifiés comme étant particulièrement actifs et représentent une menace significative pour les entreprises et les particuliers. Le rapport de Cyble fournit des détails sur les méthodes utilisées par ces groupes, soulignant l’évolution constante des techniques d’attaque et l’importance de rester vigilant face à ces menaces. Les entreprises sont encouragées à renforcer leurs mesures de sécurité pour se protéger contre ces attaques. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

L’article publié par SecureList de Kaspersky décrit une campagne de minage de crypto-monnaie qui utilise des API Docker exposées pour propager un malware de manière autonome. Cette attaque ne nécessite pas de serveur de commande et de contrôle, s’appuyant sur la croissance exponentielle du nombre de conteneurs infectés pour se propager. Lors d’une évaluation de compromission, des analystes ont détecté des conteneurs exécutant des activités malveillantes. L’analyse a révélé que l’attaquant a accédé à l’infrastructure conteneurisée en exploitant une API Docker publiée de manière non sécurisée, compromettant ainsi les conteneurs en cours d’exécution et en créant de nouveaux pour miner la crypto-monnaie Dero et lancer des attaques externes. ...

Microsoft Threat Intelligence a publié un rapport sur Void Blizzard, un nouvel acteur de menace affilié à la Russie, qui mène des opérations de cyberespionnage ciblant principalement des organisations importantes pour les objectifs du gouvernement russe. Ces cibles incluent les secteurs gouvernementaux, de la défense, des transports, des médias, des ONG et de la santé, principalement en Europe et en Amérique du Nord. Void Blizzard utilise des identifiants volés, souvent achetés sur des marchés en ligne, pour accéder aux organisations et voler de grandes quantités d’emails et de fichiers. En avril 2025, ils ont commencé à utiliser des méthodes plus directes pour voler des mots de passe, telles que l’envoi de faux emails pour tromper les utilisateurs. ...

L’article de BleepingComputer rapporte la découverte d’un nouveau malware nommé PumaBot, qui cible spécifiquement les appareils IoT sous Linux. PumaBot est un botnet écrit en Go, un langage de programmation connu pour sa portabilité et son efficacité. Ce malware utilise des attaques par force brute pour compromettre les identifiants SSH des appareils IoT, ce qui lui permet de déployer des charges utiles malveillantes. Les appareils IoT, souvent mal sécurisés, sont des cibles privilégiées pour ce type d’attaques, car ils peuvent être intégrés dans un réseau de botnets pour mener diverses activités malveillantes telles que des attaques DDoS ou l’exfiltration de données. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...