Malware

Selon une publication de Malwarebytes, des cybercriminels exploitent la saison des vacances pour lancer une campagne de redirection via des sites de jeux et des réseaux sociaux vers de faux sites se faisant passer pour Booking.com. Cette campagne a commencé à mi-mai et les destinations de redirection changent tous les deux à trois jours. Les utilisateurs sont dirigés vers des sites utilisant une fausse CAPTCHA pour accéder au presse-papiers des visiteurs et les inciter à exécuter un commande PowerShell malveillante. Cette commande télécharge et exécute un fichier détecté comme Backdoor.AsyncRAT, permettant aux attaquants de contrôler à distance les appareils infectés. ...

L’article publié par GBHackers Security, un média reconnu dans le domaine de la cybersécurité, met en lumière l’émergence d’un nouveau malware nommé Crocodilus. Ce malware représente une menace croissante dans l’écosystème Android. Crocodilus est un cheval de Troie bancaire conçu pour prendre le contrôle total des appareils Android. Initialement détecté lors de campagnes de test avec un nombre limité d’instances actives, ce malware a rapidement évolué, montrant une augmentation des campagnes actives et un développement sophistiqué. ...

L’article publié par Safety CLI Cybersecurity Inc. le 2 juin 2025, détaille une campagne de malware ciblant l’écosystème de la cryptomonnaie Solana. Entre le 4 et le 24 mai 2025, un acteur malveillant a publié 11 packages Python malveillants sur le registre PyPI, conçus pour voler du code source, des cryptomonnaies et d’autres données sensibles. La campagne s’est déroulée en quatre itérations distinctes, chacune utilisant un payload différent pour exfiltrer des données vers des adresses IP spécifiques hébergées en Russie. Le premier payload, prices.py, a été utilisé dans six packages publiés entre le 4 et le 20 mai, exfiltrant des fichiers Python vers une adresse IP spécifique. Les itérations suivantes ont introduit de nouveaux fichiers payload (helpers.py, coins.py, markets.py) avec des destinations d’exfiltration différentes. ...

Le 21 mai 2025, Europol, le FBI et Microsoft, en collaboration avec d’autres partenaires publics et privés, ont annoncé avoir mené une opération ciblant le maliciel Lumma, l’un des infostealers les plus actifs, diffusé sous forme de malware-as-a-service. Malgré la saisie d’environ 2 500 domaines et l’infiltration du serveur principal via une faille inconnue dans Dell iDRAC, une grande partie de l’infrastructure hébergée en Russie reste intacte. Une reprise rapide, mais une réputation écornée L’opération de démantèlement a suscité une vague de plaintes sur les forums cybercriminels, les clients n’ayant plus accès aux serveurs C2 ni aux tableaux de bord. Le développeur de Lumma a reconnu publiquement la compromission mais affirme être déjà opérationnel à nouveau, notamment via des serveurs russes toujours actifs. ...

L’article de The Insider révèle les activités cybernétiques de l’unité 29155 du GRU russe, connue pour ses opérations de sabotage physique. En août 2024, le Département de la Justice des États-Unis a inculpé plusieurs membres de cette unité pour avoir mené des opérations cybernétiques à grande échelle visant à endommager les systèmes informatiques en Ukraine avant l’invasion russe de 2022. Ces attaques incluaient l’utilisation de malwares pour effacer des données de systèmes critiques et la dissimulation de leurs actions sous forme de ransomware. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

L’article publié par SecureList de Kaspersky décrit une campagne de minage de crypto-monnaie qui utilise des API Docker exposées pour propager un malware de manière autonome. Cette attaque ne nécessite pas de serveur de commande et de contrôle, s’appuyant sur la croissance exponentielle du nombre de conteneurs infectés pour se propager. Lors d’une évaluation de compromission, des analystes ont détecté des conteneurs exécutant des activités malveillantes. L’analyse a révélé que l’attaquant a accédé à l’infrastructure conteneurisée en exploitant une API Docker publiée de manière non sécurisée, compromettant ainsi les conteneurs en cours d’exécution et en créant de nouveaux pour miner la crypto-monnaie Dero et lancer des attaques externes. ...

L’actualité rapportée par Checkmarx Zero met en lumière une campagne malveillante ciblant les utilisateurs de Python et NPM. Cette campagne utilise des techniques de typo-squatting et de confusion de noms pour tromper les utilisateurs en téléchargeant des packages malveillants. Les packages malveillants ont été identifiés sur PyPI et NPM, utilisant des noms similaires à des packages légitimes comme colorama et colorizr. Cette approche inclut l’utilisation de noms d’un écosystème pour attaquer un autre, une tactique inhabituelle. ...

L’article de Bleeping Computer rapporte le démantèlement d’AVCheck, un service clandestin utilisé par les cybercriminels pour vérifier si leurs malwares sont détectés par les logiciels antivirus commerciaux avant de les déployer. AVCheck permettait aux cybercriminels de soumettre leurs programmes malveillants pour voir s’ils pouvaient contourner les mesures de sécurité des antivirus. Ce service était crucial pour les criminels cherchant à garantir que leurs malwares restent indétectés le plus longtemps possible. ...

L’article de BleepingComputer rapporte la découverte d’un nouveau malware nommé PumaBot, qui cible spécifiquement les appareils IoT sous Linux. PumaBot est un botnet écrit en Go, un langage de programmation connu pour sa portabilité et son efficacité. Ce malware utilise des attaques par force brute pour compromettre les identifiants SSH des appareils IoT, ce qui lui permet de déployer des charges utiles malveillantes. Les appareils IoT, souvent mal sécurisés, sont des cibles privilégiées pour ce type d’attaques, car ils peuvent être intégrés dans un réseau de botnets pour mener diverses activités malveillantes telles que des attaques DDoS ou l’exfiltration de données. ...