IOC

Selon ThreatFabric, « PhantomCard » est un nouveau Trojan Android de relais NFC ciblant les clients bancaires au Brésil, dans la continuité de NFSkate/NGate (03/2024) et Ghost Tap, avec un intérêt cybercriminel croissant pour ce vecteur. L’outil, opéré sous modèle Malware-as-a-Service (MaaS), pourrait s’étendre à d’autres régions. Dans la campagne observée, PhantomCard se fait passer pour l’application « Proteção Cartões » sur de fausses pages Google Play avec de faux avis positifs. Une fois installé, il ne requiert pas d’autorisations supplémentaires, demande à la victime de taper sa carte au dos du téléphone, affiche « carte détectée », puis transmet les données via un serveur de relais NFC. L’application sollicite ensuite le code PIN (4 ou 6 chiffres) afin d’authentifier les transactions. Le dispositif établit ainsi un canal temps réel entre la carte physique de la victime et un terminal de paiement/ATM auprès du fraudeur, démontré par une vidéo partagée sur Telegram. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

Selon Picus Security, RingReaper est un malware Linux post‑exploitation sophistiqué qui s’appuie sur l’interface io_uring du noyau pour échapper aux solutions EDR, en limitant l’usage des appels système traditionnels et en se concentrant sur des opérations asynchrones discrètes. Le logiciel malveillant réalise des actions de reconnaissance et de collecte de données, procède à l’élévation de privilèges et met en place des mécanismes de dissimulation d’artefacts, le tout en minimisant l’empreinte de détection classique. ...

Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel. ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août). ...

Contexte: S2W TALON (blog Medium du S2W Threat Intelligence Center) publie un rapport statistique et analytique sur l’écosystème ransomware au premier semestre 2025 (1er janv. – 30 juin 2025). • Volume et tendances clés 📊 3 624 victimes listées sur des sites de fuite, soit +58,4 % vs S1 2024, avec un pic en mars (émergence de 13 nouveaux groupes et exploitation de la vulnérabilité Cleo CVE-2024-55956 par TA505/CL0P). 91 groupes actifs, dont 51 nouveaux (RaaS en expansion, comportements plus imprévisibles). Le top 10 concentre 60,3 % des attaques. Baisse du taux de paiement (données Coveware), poussant les groupes à viser PME et cibles plus larges. États‑Unis les plus touchés (56,6 % des cas), corrélation avec le PIB et l’industrialisation numérique. Secteurs les plus touchés: Business Services (16,2 %, en forte hausse), apparition de la finance dans le top 10; gouvernements: 92 attaques (2,5 %), en nette hausse. • Groupes, rebrandings et écosystème 🔗 ...

Selon GBHackers Security, dans un contexte de menaces complexes, une opération de malware exploite des Google Ads piégées en se faisant passer pour Tesla afin d’induire les consommateurs en erreur avec de prétendues précommandes du robot humanoïde Optimus, non annoncé. Les chercheurs en sécurité ont identifié plusieurs domaines malveillants imitant le site officiel de Tesla, conçus pour tromper les internautes en s’appuyant sur l’historique de la marque en matière d’acceptation de commandes en ligne. ...

Selon Truesec, deux attaques de chaîne d’approvisionnement distinctes ont visé l’écosystème npm, entraînant la publication de versions malveillantes de paquets populaires contenant le malware JavaScript Scavenger Stealer. • Première attaque: campagnes de spear phishing utilisant des domaines typosquattés (npnjs.com au lieu de npmjs.com) pour collecter les identifiants de mainteneurs et pousser des paquets compromis. • Seconde attaque: compromission directe de l’organisation GitHub de Toptal, permettant la publication de paquets npm malveillants sans commits de code source visibles. ...

NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM). L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email. ...

Source: GreyNoise — Dans un billet d’analyse, GreyNoise signale un pic significatif de tentatives de bruteforce visant les VPN SSL Fortinet, avec plus de 780 IPs uniques observées en une seule journée, le volume le plus élevé depuis plusieurs mois. Deux vagues d’attaque ont été identifiées: une campagne continue et une poussée concentrée débutée le 5 août, chacune présentant des signatures TCP distinctes. À l’aide du fingerprinting JA4+, les chercheurs ont suivi une évolution des cibles allant de FortiOS vers FGFM (FortiManager). ...

Selon Infoblox (blog Threat Intelligence), ce rapport analyse en profondeur VexTrio, une organisation cybercriminelle ancienne et sophistiquée opérant un vaste écosystème mondial de scams, spam et applications mobiles frauduleuses. L’étude décrit un modèle économique multi‑canal : sites de rencontres factices, arnaques crypto, apps VPN et adblock malveillantes (plus d’1 million de téléchargements) et opérations de spam usurpant des services e‑mail légitimes. VexTrio contrôle à la fois les Traffic Distribution Systems (TDS) et les pages d’atterrissage frauduleuses, maximise ses profits via un réseau de sociétés écrans et de programmes d’affiliation, et illustre la porosité entre adtech et cybercriminalité ⚠️. ...