IOC

UpGuard a découvert une base de données Elasticsearch non sécurisée contenant environ 22 millions de requêtes web. Ces requêtes incluent des informations telles que le domaine de destination, l’adresse IP de l’utilisateur et des métadonnées comme la localisation et le fournisseur d’accès Internet. 95% de ces requêtes étaient dirigées vers leakzone.net, un forum actif dans le partage de matériels cyber illicites comme des outils de hacking et des comptes compromis. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...

L’actualité provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquée nommée Fire Ant. Cette campagne cible spécifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour échapper à la détection et maintenir un accès persistant. La campagne a exploité la vulnérabilité CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accéder à ESXi. Des portes dérobées persistantes ont été déployées via des VIBs non signés et des fichiers local.sh modifiés. De plus, la vulnérabilité CVE-2023-20867 a été utilisée pour exécuter des commandes non authentifiées de l’hôte vers l’invité. ...

CYFIRMA a identifié une campagne de malware bancaire Android ciblant les utilisateurs en Inde. Ce malware utilise une architecture de dropper en deux étapes pour voler des identifiants, intercepter des SMS et effectuer des transactions financières non autorisées. Il utilise Firebase pour les opérations de command-and-control et exploite de nombreuses permissions Android pour maintenir sa persistance et échapper à la détection. Le malware est composé d’un dropper (SHA256: ee8e4415eb568a88c3db36098b7ae8019f4efe565eb8abd2e7ebba1b9fb1347d) et d’une charge utile principale (SHA256: 131d6ee4484ff3a38425e4bc5d6bd361dfb818fe2f460bf64c2e9ac956cfb13d) qui exploite des permissions Android telles que REQUEST_INSTALL_PACKAGES, READ_SMS et SEND_SMS. Il utilise Firebase Realtime Database pour la communication C2, met en œuvre des pages de phishing imitant des interfaces bancaires légitimes, et emploie des techniques de furtivité comme la dissimulation d’activités de lancement. ...

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes. ...

L’article publié par Socket.dev le 23 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement ciblant l’organisation GitHub de Toptal. Les attaquants ont publié 10 paquets npm malveillants conçus pour voler des jetons d’authentification GitHub et tenter de détruire les systèmes des victimes. Ces paquets ont affecté 73 dépôts et ont été téléchargés 5 000 fois, illustrant des techniques d’attaque sophistiquées visant des comptes organisationnels légitimes. Toptal a réagi rapidement en dépréciant les versions malveillantes et en revenant à des versions stables pour limiter les dégâts. ...

L’article de KrebsOnSecurity relate une attaque de phishing réussie contre un cadre d’une entreprise de transport, qui a permis de découvrir une vaste opération cybercriminelle nigériane connue sous le nom de SilverTerrier. Cette attaque a entraîné une perte financière à six chiffres lorsque des criminels ont utilisé des identifiants de messagerie compromis pour envoyer de fausses factures aux clients. L’enquête a révélé que le groupe a enregistré plus de 240 domaines de phishing ces dernières années, ciblant spécifiquement les entreprises de l’aéronautique et du transport à l’échelle mondiale. ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes. L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque. ...

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...