Phishing

Source: filippo.io (Filippo Valsorda). L’auteur analyse les compromissions de la chaîne d’approvisionnement open source sur 2024/2025, en recensant des cas concrets et en les classant par causes racines afin d’identifier des mitigations actionnables pour les mainteneurs. Principales causes identifiées: phishing (le vecteur le plus fréquent, y compris contre 2FA TOTP), control handoff (transfert d’accès/contrôle à un acteur malveillant), et déclencheurs GitHub Actions privilégiés comme pull_request_target et certains issue_comment conduisant à des injections shell. Les jetons à longue durée de vie (exfiltration et réutilisation), l’usurpation de Dependabot, la résurrection de domaines/identifiants, et des facteurs aggravants (tags d’Actions mutables, scripts post-install npm, permissions CI en écriture, artefacts non reproductibles, configuration CI par branche) reviennent régulièrement. ...

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes. Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS. ...

Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...

Selon BleepingComputer, une campagne de phishing en cours vise les utilisateurs des gestionnaires de mots de passe LastPass et Bitwarden. Les attaquants diffusent des emails frauduleux qui prétendent que les entreprises ont été piratées. Ces messages poussent les victimes à télécharger une soi‑disant version desktop “plus sécurisée” des gestionnaires de mots de passe. 🎣 Campagne de phishing visant les utilisateurs de LastPass, Bitwarden et 1Password Une campagne de phishing cible actuellement les utilisateurs de LastPass et Bitwarden avec de faux courriels affirmant que les entreprises ont été piratées. Les messages incitent les destinataires à télécharger une prétendue version de bureau « plus sécurisée » du gestionnaire de mots de passe. En réalité, le fichier installe Syncro, un outil de supervision à distance (RMM) utilisé par les prestataires de services managés, que les attaquants détournent pour déployer ScreenConnect, leur permettant de prendre le contrôle des appareils infectés. ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Source: bleepingcomputer.com (Bill Toulas) — La Guardia Civil espagnole a démantelé « GXC Team », une opération de cybercriminalité opérant en Crime-as-a-Service (CaaS), et arrêté son chef présumé, un Brésilien de 25 ans connu sous le nom de « GoogleXcoder ». Le groupe proposait des kits de phishing dopés à l’IA, des malwares Android et des outils de voice-scam, vendus via Telegram et un forum russophone. Selon Group-IB, les cibles incluaient des banques, le transport et l’e-commerce en Espagne, Slovaquie, Royaume-Uni, États-Unis et Brésil. Les kits reproduisaient les sites de dizaines d’institutions et ont alimenté au moins 250 sites de phishing. ...

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...

CSelon un rapport du CERT-UA, le nombre d’attaques cybernétiques russes sur l’Ukraine a augmenté de 20 % au premier semestre 2025, dépassant 3 000 incidents, alors que les attaques à fort impact diminuent grâce aux renforcements défensifs ukrainiens. Les hackers russes délaissent leurs anciennes méthodes, automatisent leurs opérations et intègrent désormais des malwares générés par intelligence artificielle, comme les scripts PowerShell utilisés dans le malware Wrecksteel attribué au groupe de cyberespionnage UAC-0219. ...

Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier. Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩 La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de: définir un papier peint de bureau après le verrouillage des données, fixer le montant de la rançon, renseigner une adresse de portefeuille (wallet), indiquer un email de contact. 🔐 TTPs observés: ...

Sur le blog de Talos Intelligence, un article propose un guide rapide destiné aux “référents cybersécurité” pour leurs amis et familles, afin de répondre à la question : « J’ai cliqué sur un lien suspect — et maintenant ? » 🛡️ Que faire en cas de clic sur un lien suspect Lorsqu’une personne clique sur un lien suspect, il est important de garder son calme et d’agir avec méthode pour limiter les risques. ...