Phishing

Selon TechCrunch, le Congressional Budget Office (CBO) a confirmé avoir été victime d’une intrusion et indique avoir contenu l’incident, renforcé la surveillance et déployé de nouveaux contrôles de sécurité durant l’enquête en cours. Le CBO, agence non partisane fournissant des analyses économiques au Congrès, aurait vu des e-mails internes, des journaux de discussion et des communications entre bureaux parlementaires et chercheurs du CBO potentiellement consultés, d’après le Washington Post qui a révélé l’affaire. ...

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met à jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA génératives » et documente l’intégration active d’IA dans des opérations réelles, depuis la reconnaissance jusqu’à l’exfiltration. • Points clés: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exécution (« just-in-time »), l’usage de prétextes de type ingénierie sociale pour contourner les garde-fous, la montée d’un marché cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs étatiques (Chine, Iran, Corée du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiée comme « I Paid Twice », visant les établissements hôteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement. 🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaîne de pages et scripts JavaScript menant à la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et résiste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur à copier/exec un one‑liner PowerShell. ...

Selon The Record (Recorded Future News), la police russe a mené des perquisitions et arrêté trois « jeunes spécialistes IT » soupçonnés d’avoir développé, utilisé et vendu le malware Meduza Stealer. 🚔 Les suspects ont été interpellés à Moscou et dans sa région; les autorités disent avoir saisi des ordinateurs, téléphones et cartes bancaires. Une vidéo publiée par le ministère montre les raids; l’un des suspects affirme « ne pas vraiment comprendre » son arrestation. Ils risquent jusqu’à quatre ans de prison s’ils sont reconnus coupables. ...

Source: TechCrunch. Dans un article de Lorenzo Franceschi-Bicchierai, TechCrunch relaie un rapport de Kaspersky attribuant un nouveau spyware Windows nommé « Dante » à Memento Labs (ex-Hacking Team), observé contre des victimes en Russie et au Bélarus, avec confirmation par le PDG de Memento. • Kaspersky a détecté une campagne où un groupe baptisé « ForumTroll » a utilisé des appâts de type invitations au forum de politique et d’économie russe « Primakov Readings » pour viser un large éventail d’organisations en Russie (médias, universités, organismes gouvernementaux). Kaspersky note une forte maîtrise du russe par les attaquants, tout en soulignant des erreurs indiquant qu’ils ne seraient pas natifs. 🎯 ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » exploite des agents Microsoft Copilot Studio pour délivrer des demandes de consentement OAuth frauduleuses en s’appuyant sur des domaines Microsoft légitimes et de confiance. Cette approche arme des agents Copilot Studio comme canal de diffusion, donnant à la demande d’autorisation une apparence officielle. L’attaque cible spécifiquement le flux de consentement OAuth, où l’utilisateur est incité à valider une autorisation trompeuse. ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » a été observée. Cette méthode arme des agents Microsoft Copilot Studio pour envoyer des demandes de consentement OAuth frauduleuses, en passant par des domaines Microsoft légitimes et de confiance. 🎯 L’objectif est de faire parvenir des requêtes d’autorisation OAuth qui paraissent légitimes, car servies depuis des domaines Microsoft reconnus. TTPs observés: Phishing Abus d’agents Microsoft Copilot Studio Fraude au consentement OAuth (OAuth consent phishing) Utilisation de domaines Microsoft légitimes pour la livraison Il s’agit d’un article de presse spécialisé visant à informer sur l’émergence de cette nouvelle technique de phishing. ...

Source: Kanton Basel-Landschaft (baselland.ch) — communiqué officiel. 🚨 La police indique qu’un « SMS-Blaster » a été utilisé le mardi 14 octobre 2025 dans la région de Muttenz. À la suite d’une localisation et d’une opération de recherche, un véhicule a été contrôlé près de la gare Badischer Bahnhof à Bâle. Les forces de l’ordre ont découvert un SMS-Blaster dans le coffre du véhicule. Le conducteur, un citoyen chinois de 52 ans, a été interpellé. ...

Selon Cofense Intelligence, une campagne de phishing sophistiquée exploite des scripts JavaScript intégrés à des pièces jointes HTML ou à des liens de plateformes de collaboration cloud pour contourner les contrôles de sécurité et voler des identifiants. L’attaque repose sur des pièces jointes HTML ou des liens vers des services cloud contenant du JavaScript qui réalise une sélection aléatoire d’un domaine .org, génère des UUIDs de suivi et remplace dynamiquement le contenu de la page par une fausse page de connexion, le tout sans redirection d’URL apparente. Par rapport aux scripts de phishing habituels, cette campagne se distingue par une sélection à domaine unique sans bascule, un double suivi par UUID (campagne et session) et une orchestration côté serveur qui imite finement des sites légitimes tout en contournant les contrôles de sécurité (SEG). 🎣 ...

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh. Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges. 🛠️ Chaîne d’infection et livraison ...