Malware

Le 5 juin, le FBI a publié un avis de sécurité publique intitulé “Home Internet Connected Devices Facilitate Criminal Activity”, mettant en lumière les dangers du malware BADBOX. Ce malware, identifié par l’équipe de recherche Satori de HUMAN, affecte principalement les boîtiers Android TV, mais aussi d’autres appareils IoT tels que les tablettes et les cadres photo numériques. L’objectif principal de ce malware est de créer un réseau proxy sur les appareils des utilisateurs, les transformant en hubs potentiels pour des activités criminelles, exposant ainsi les propriétaires à des risques légaux. Ce malware est particulièrement dangereux car il est préinstallé sur des appareils vendus par des détaillants en ligne majeurs comme Amazon et AliExpress. ...

L’article publié par Microsoft Threat Intelligence Center annonce la sortie de RIFT, un nouvel outil destiné à assister les analystes de malwares dans l’identification de code écrit par des attaquants au sein de binaires Rust. Rust, réputé pour son efficacité et sa sécurité mémoire, est de plus en plus utilisé par des groupes motivés financièrement et des entités étatiques pour créer des malwares. Cette adoption croissante pose de nouveaux défis pour les analystes, car les caractéristiques uniques des binaires Rust rendent l’analyse statique plus complexe. ...

L’article publié par BleepingComputer met en lumière une nouvelle menace dans le domaine de la cybersécurité impliquant ConnectWise ScreenConnect. Des acteurs malveillants ont trouvé un moyen d’abuser de l’installateur de ConnectWise ScreenConnect pour créer des malwares d’accès à distance signés. Ces malwares sont générés en modifiant des paramètres cachés au sein de la signature Authenticode du client. Cette méthode permet aux attaquants de contourner certaines mesures de sécurité qui se fient aux signatures numériques pour vérifier l’authenticité des logiciels. En exploitant ces failles, les malwares peuvent être installés sans éveiller les soupçons des systèmes de sécurité traditionnels. ...

L’article publié par The Record rapporte une fuite de données massive concernant la population du Paraguay, qui a été découverte sur le dark web. Les chercheurs ont indiqué que ces données incluent des informations sur l’ensemble de la population paraguayenne, ce qui souligne l’ampleur de l’incident. Il est probable que cette fuite ait pour origine un malware (infostealer) ayant infecté un appareil appartenant à un employé du gouvernement. Ce type d’attaque met en lumière les vulnérabilités potentielles dans les systèmes de sécurité des infrastructures gouvernementales, qui peuvent être exploitées par des logiciels malveillants. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...

L’article de Check Point Research révèle une campagne malveillante ciblant les utilisateurs de Minecraft via le réseau Stargazers Ghost, opérant sur GitHub. Les attaquants distribuent des mods Minecraft infectés qui volent des données personnelles. La campagne utilise un processus en plusieurs étapes pour infecter les systèmes. Les mods malveillants, déguisés en outils de triche, téléchargent un voleur de données en Java, suivi d’un autre en .NET, ciblant spécifiquement les utilisateurs ayant Minecraft installé. ...

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...

Selon un article publié par Bleeping Computer, une nouvelle version du malware Android connu sous le nom de ‘Godfather’ a été détectée. Ce malware est conçu pour créer des environnements virtuels isolés sur les appareils mobiles afin de voler des données de compte et des transactions à partir d’applications bancaires légitimes. Le malware ‘Godfather’ cible spécifiquement les utilisateurs d’applications bancaires en créant un environnement sécurisé qui imite l’application bancaire légitime. Cela permet au malware de capturer les informations sensibles des utilisateurs, telles que les identifiants de connexion et les détails des transactions. ...

Selon un article de BleepingComputer, le groupe de menace persistante avancée (APT) nord-coréen connu sous le nom de BlueNoroff (également appelé ‘Sapphire Sleet’ ou ‘TA444’) a mis en place une nouvelle stratégie d’attaque utilisant des deepfakes de dirigeants d’entreprises lors de faux appels Zoom pour tromper les employés. BlueNoroff exploite ces deepfakes pour se faire passer pour des cadres de haut niveau, incitant ainsi les employés à installer des malwares personnalisés sur leurs ordinateurs. Cette technique sophistiquée permet au groupe de contourner les mesures de sécurité traditionnelles en exploitant la confiance des employés envers leurs supérieurs hiérarchiques. ...