Malware

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met à jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA génératives » et documente l’intégration active d’IA dans des opérations réelles, depuis la reconnaissance jusqu’à l’exfiltration. • Points clés: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exécution (« just-in-time »), l’usage de prétextes de type ingénierie sociale pour contourner les garde-fous, la montée d’un marché cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs étatiques (Chine, Iran, Corée du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

Selon Help Net Security, YouTube (2,53 milliards d’utilisateurs) est devenu un terrain où coexistent divertissement, information et tromperie, avec une hausse notable des abus exploitant les failles de l’écosystème. L’article met en avant la prolifération d’arnaques et de deepfakes, ainsi que des promotions camouflant des liens malveillants derrière des logos familiers. Il cite aussi la présence de malware dans des vidéos tutoriels, des comptes de créateurs détournés, et des contenus de fraude à l’investissement devenus récurrents. ...

Contexte — The Register (Carly Page) rapporte que Google, en collaboration avec Check Point, a supprimé des milliers de vidéos malveillantes publiées sur YouTube par un réseau baptisé ‘YouTube Ghost Network’, actif depuis 2021 et fortement intensifié en 2025. Le mode opératoire reposait sur des comptes YouTube légitimes compromis et des faux comptes orchestrés pour publier des tutoriels promettant des copies piratées de logiciels (Photoshop, FL Studio, Microsoft Office, Lightroom, outils Adobe) et des cheats de jeux, notamment pour Roblox 🎮. Les victimes étaient incitées à désactiver leur antivirus puis à télécharger des archives depuis Dropbox, Google Drive ou MediaFire contenant des infostealers comme Rhadamanthys et Lumma, qui exfiltraient identifiants, portefeuilles crypto et données système vers des serveurs de commande et contrôle (C2). Certains contenus redirigeaient aussi vers des pages de phishing hébergées sur Google Sites visant des utilisateurs de cryptomonnaies. ...

Source: Medium (Deriv Tech). Un article de Shantanu dévoile « BeaverTail », une campagne sophistiquée mêlant ingénierie sociale (LinkedIn) et dépôt GitHub piégé pour compromettre des développeurs sous couvert d’un test technique. – Le leurre: un faux recruteur (« Tim Morenc, CEDS ») d’une fausse entreprise « DLMind » (org GitHub dlmind-tech) propose un rôle d’« Innovative AI Engineer » et demande de cloner et exécuter un projet Next.js « MEDIRA ». L’exécution (npm install / node run dev/build) déclenche un backdoor caché. ...

Selon BleepingComputer, des cybercriminels exploitent TikTok pour diffuser des vidéos se présentant comme des « guides d’activation gratuits » de logiciels populaires, afin d’y dissimuler et propager des malwares voleurs d’informations. • Leurre principal : des tutoriels d’activation gratuits pour Windows, Spotify et Netflix. • Canal de diffusion : TikTok est utilisé comme vecteur pour attirer les victimes via des contenus prétendument légitimes. • Charge malveillante : un malware voleur d’informations (information stealer) est propagé à partir de ces contenus. ...

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisé TA585 a été identifié et conduit une opération avancée visant à distribuer le malware MonsterV2. Points clés 🚨: Nouveau groupe identifié: TA585 Nature de l’activité: opération avancée Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montée en puissance d’un acteur émergent et la circulation du malware MonsterV2 au sein d’une campagne structurée. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

CSelon un rapport du CERT-UA, le nombre d’attaques cybernétiques russes sur l’Ukraine a augmenté de 20 % au premier semestre 2025, dépassant 3 000 incidents, alors que les attaques à fort impact diminuent grâce aux renforcements défensifs ukrainiens. Les hackers russes délaissent leurs anciennes méthodes, automatisent leurs opérations et intègrent désormais des malwares générés par intelligence artificielle, comme les scripts PowerShell utilisés dans le malware Wrecksteel attribué au groupe de cyberespionnage UAC-0219. ...

CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025. — Contexte et portée Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures. Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP. — Fonctionnement du malware 🐛 ...