Obfuscation

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

L’article publié le 7 août 2025 par Seqrite met en lumière une nouvelle menace où des cybercriminels exploitent des fichiers SVG pour réaliser des attaques de phishing sophistiquées. Ces fichiers, contrairement aux images standard, peuvent contenir du JavaScript exécutable qui s’exécute automatiquement dans les navigateurs, redirigeant les victimes vers des sites de collecte de crédentiels. Ces attaques sont principalement diffusées par des emails de spear-phishing avec des pièces jointes convaincantes et des liens vers des stockages en cloud, échappant souvent à la détection en raison de la réputation de confiance des SVG. Les organisations sont encouragées à mettre en place une inspection approfondie du contenu, à désactiver le rendu automatique des SVG provenant de sources non fiables, et à renforcer la sensibilisation des utilisateurs pour se défendre contre ce vecteur de menace émergent. ...

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit. Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité. ...

L’alerte de Satori Threat Intelligence a révélé une opération de fraude publicitaire mobile sophistiquée nommée IconAds. Cette opération impliquait 352 applications qui affichaient des publicités hors contexte sur les écrans des utilisateurs tout en cachant les icônes des applications, rendant difficile leur identification et suppression. IconAds a été une expansion d’une opération surveillée depuis 2023. À son apogée, elle représentait 1,2 milliard de requêtes d’enchères par jour, avec un trafic principalement issu du Brésil, du Mexique et des États-Unis. Google a supprimé toutes les applications identifiées du Google Play Store, protégeant ainsi les utilisateurs via Google Play Protect. ...

Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels. XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black. ...

L’article publié par le Threat Research Center de Palo Alto Networks explore une campagne de compromission de sites web légitimes à l’aide de code JavaScript obfusqué, surnommé JSFireTruck. Cette campagne utilise une technique d’obfuscation JavaScript appelée JSF*ck, renommée JSFireTruck pour éviter la vulgarité. Les attaquants injectent ce code dans des sites web pour rediriger les utilisateurs vers des pages malveillantes, exploitant des moteurs de recherche comme vecteurs de redirection. Plus de 269 000 pages ont été infectées entre mars et avril 2025, révélant l’ampleur de l’attaque. ...

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

L’article publié sur le blog de la société Aikido le 18 mai 2025, relate la découverte d’un package NPM malveillant nommé os-info-checker-es6. L’enquête a révélé que ce package ne fonctionnait pas comme annoncé, ce qui a conduit les chercheurs à approfondir leur investigation. Les chercheurs ont découvert que le package utilisait des invitations Google malveillantes et des caractères Unicode « Private Use Access » (PUAs) pour obfusquer son code et échapper à la détection. Cette technique ingénieuse a compliqué la tâche des analystes, mais leur persévérance a permis de démasquer la menace. ...