IOC

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon KrebsOnSecurity, une enquête retrace l’historique, l’infrastructure et les pratiques du service de proxies résidentiels DSLRoot, après un débat lancé sur Reddit par un membre de l’Air National Guard qui hébergeait des équipements DSLRoot chez lui contre rémunération. • Contexte et modèle économique. DSLRoot, commercialisé aussi sous « GlobalSolutions » (Bahamas, 2012), paie des résidents américains pour héberger du matériel (PC, appareils 5G) et revend l’accès à leurs adresses IP comme proxies dédiés (environ 190 $/mois pour un accès illimité). L’entreprise parle de « regional agents » et affirme interdire les usages illégaux. Le fil Reddit décrit deux laptops reliés à un modem DSL distinct, exécutant une application personnalisée qui ouvre des cmd et « fait des connexions ». 🚩 ...

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui téléchargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’Accessibilité, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program régional) bloque de plus en plus d’apps à risque. ...

Selon un papier de recherche soumis à l’IEEE par Ruby Nealon, l’attaque XZ Utils (backdoor visant les processus sshd via la bibliothèque liblzma chargée indirectement par systemd) a mis en lumière la persona « JiaT75 », qui a bâti la confiance pendant près de deux ans avant d’auto-fusionner une version piégée. L’étude montre qu’il est possible d’identifier, à partir de données publiques GitHub et Git, des signaux d’anomalies comportementales associés à de telles opérations de social engineering dans l’open source. ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...

Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots. ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mène de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de défense en Inde. Points clés: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entités de gouvernement et de défense en Inde 🎯 Nature: cyberespionnage TTPs observés: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portée: ...

Selon CrowdStrike, entre juin et août 2025, la plateforme Falcon a empêché une campagne de malware visant plus de 300 environnements clients, opérée par l’acteur eCrime COOKIE SPIDER et déployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). • Le mode opératoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes à exécuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient déjà exploité cette méthode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

Source : Blog de Flipper Devices — l’article répond aux reportages évoquant un « firmware secret » du Flipper Zero capable de pirater n’importe quelle voiture, sujet repris par The Verge, Gizmodo, 404 Media et The Drive. ⚠️ Le billet explique que des boutiques du darknet ont commencé à vendre un « firmware privé » pour Flipper Zero, présenté comme pouvant « hacker » d’innombrables voitures. Ces vendeurs affirment que de nouvelles vulnérabilités auraient « fuité » en ligne, rendant ce piratage possible. ...