Malware

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels. XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black. ...

L’actualité publiée par Koi Security révèle une campagne malveillante de grande envergure impliquant plus de 40 extensions Firefox falsifiées, conçues pour voler les identifiants de portefeuilles de cryptomonnaie. Ces extensions se font passer pour des outils légitimes de plateformes populaires comme Coinbase, MetaMask, et Trust Wallet. Les extensions malveillantes, une fois installées, exfiltrent discrètement les secrets des portefeuilles vers un serveur distant contrôlé par l’attaquant, mettant ainsi en danger immédiat les actifs des utilisateurs. La campagne, active depuis au moins avril 2025, continue de sévir avec de nouvelles extensions malveillantes régulièrement ajoutées à la boutique Firefox Add-ons. ...

Bleeping Computer rapporte que des hackers soutenus par l’État nord-coréen ont développé un nouveau malware macOS nommé NimDoor. Ce logiciel malveillant est utilisé dans une campagne visant spécifiquement les organisations Web3 et de cryptomonnaie. Le malware NimDoor est conçu pour s’infiltrer dans les systèmes macOS, permettant aux attaquants d’accéder à des informations sensibles et de potentiellement compromettre des transactions financières. Cette nouvelle menace s’inscrit dans une série d’attaques attribuées à des groupes de hackers nord-coréens, connus pour cibler le secteur financier mondial. ...

Le 5 juin, le FBI a publié un avis de sécurité publique intitulé “Home Internet Connected Devices Facilitate Criminal Activity”, mettant en lumière les dangers du malware BADBOX. Ce malware, identifié par l’équipe de recherche Satori de HUMAN, affecte principalement les boîtiers Android TV, mais aussi d’autres appareils IoT tels que les tablettes et les cadres photo numériques. L’objectif principal de ce malware est de créer un réseau proxy sur les appareils des utilisateurs, les transformant en hubs potentiels pour des activités criminelles, exposant ainsi les propriétaires à des risques légaux. Ce malware est particulièrement dangereux car il est préinstallé sur des appareils vendus par des détaillants en ligne majeurs comme Amazon et AliExpress. ...

L’article publié par Microsoft Threat Intelligence Center annonce la sortie de RIFT, un nouvel outil destiné à assister les analystes de malwares dans l’identification de code écrit par des attaquants au sein de binaires Rust. Rust, réputé pour son efficacité et sa sécurité mémoire, est de plus en plus utilisé par des groupes motivés financièrement et des entités étatiques pour créer des malwares. Cette adoption croissante pose de nouveaux défis pour les analystes, car les caractéristiques uniques des binaires Rust rendent l’analyse statique plus complexe. ...

L’article publié par BleepingComputer met en lumière une nouvelle menace dans le domaine de la cybersécurité impliquant ConnectWise ScreenConnect. Des acteurs malveillants ont trouvé un moyen d’abuser de l’installateur de ConnectWise ScreenConnect pour créer des malwares d’accès à distance signés. Ces malwares sont générés en modifiant des paramètres cachés au sein de la signature Authenticode du client. Cette méthode permet aux attaquants de contourner certaines mesures de sécurité qui se fient aux signatures numériques pour vérifier l’authenticité des logiciels. En exploitant ces failles, les malwares peuvent être installés sans éveiller les soupçons des systèmes de sécurité traditionnels. ...

L’article publié par The Record rapporte une fuite de données massive concernant la population du Paraguay, qui a été découverte sur le dark web. Les chercheurs ont indiqué que ces données incluent des informations sur l’ensemble de la population paraguayenne, ce qui souligne l’ampleur de l’incident. Il est probable que cette fuite ait pour origine un malware (infostealer) ayant infecté un appareil appartenant à un employé du gouvernement. Ce type d’attaque met en lumière les vulnérabilités potentielles dans les systèmes de sécurité des infrastructures gouvernementales, qui peuvent être exploitées par des logiciels malveillants. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...