https://cyberveille.ch/tags/katz-stealer/ Recent content in Katz Stealer on CyberVeille Hugo -- 0.146.0 fr-fr Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-campagne-clickfix-xworm-v5-6-livre-via-phantomvai-en-5-etapes-sur-site-medical-turc-compromis/ Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-campagne-clickfix-xworm-v5-6-livre-via-phantomvai-en-5-etapes-sur-site-medical-turc-compromis/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d&rsquo;une méthodologie de chasse technique basée sur l&rsquo;analyse des corps de réponses HTTP à l&rsquo;échelle d&rsquo;Internet. La recherche a permis de surface une campagne <strong>ClickFix</strong> active livrant <strong>XWorm V5.6</strong> via le loader MaaS <strong>PhantomVAI</strong>.</p> <h2 id="-vecteur-dentrée-et-infrastructure-compromise">🎯 Vecteur d&rsquo;entrée et infrastructure compromise</h2> <p>Le point d&rsquo;entrée est le site d&rsquo;une entreprise turque de matériel médical, <strong>orcanmedikal[.]com[.]tr</strong>, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée <strong>&ldquo;AntiFraud Authenticator&rdquo;</strong>. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via <code>navigator.clipboard.writeText()</code>.</p>