Phishing

Selon Clubic, le site e-commerce français Batteriedeportable (batteries et chargeurs) a subi un « accès non autorisé » à son système d’information entre le 8 et le 10 novembre 2025, intrusion détectée le 10 novembre. Les clients ont été informés par e-mail le 28 décembre, soit environ sept semaines après l’incident. Impact et données compromises : l’entreprise indique que des données personnelles ont pu être consultées, notamment : Nom et prénom Date de naissance Adresses postale et électronique Numéros de téléphone (fixe et mobile) L’entreprise précise que « les autres informations ou documents stockés » sur l’espace client ne seraient pas concernés. Rien n’indique que des données bancaires aient été exposées. Réponse de l’entreprise et cadre réglementaire : Batteriedeportable affirme avoir notifié l’ANSSI et la CNIL, puis déposé plainte conformément au RGPD. Certaines fonctionnalités du site ont été temporairement désactivées pour colmater la brèche. L’authentification multi-facteur (MFA) est annoncée « prochainement » pour les comptes clients. L’entreprise revendique plus d’un million de clients en Europe et 645 000 références au catalogue. ...

Contexte: SlowMist publie son « 2025 Blockchain Security and AML Annual Report », une synthèse des incidents de sécurité blockchain, des techniques d’attaque, des tendances de blanchiment et des évolutions réglementaires sur l’année 2025. • Chiffres clés 2025: selon la base SlowMist Hacked, 200 incidents ont causé ≈ 2,935 Md$ de pertes (contre 410 incidents et ≈ 2,013 Md$ en 2024), soit moins d’incidents mais +46% de pertes. Par écosystèmes, Ethereum est le plus touché (≈ 254 M$), suivi de BSC (≈ 21,93 M$) et Solana (≈ 17,45 M$). Par segments, DeFi concentre 126 incidents (≈63%) pour ≈ 649 M$ (en baisse vs 2024), tandis que les échanges n’en comptent que 12 mais cumulent ≈ 1,809 Md$, dont ≈ 1,46 Md$ sur un seul incident Bybit. Côté causes, vulnérabilités de contrats (61) et comptes compromis (48) dominent. ...

Selon un rapport publié par CheckPoint, une campagne de phishing a exploité des fonctionnalités légitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise. • Échelle et crédibilité 📨 Les attaquants ont expédié 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyés depuis l’adresse légitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accès à des fichiers) pour paraître normaux et fiables. ...

Selon HP Wolf Security (Threat Insights Report, décembre 2025), ce rapport synthétise les menaces observées au T3 2025 après isolement des charges qui ont échappé aux filtres de messagerie et autres contrôles, afin de documenter les techniques d’attaque courantes et émergentes. • Campagnes notables et familles de malware 🧪 En Amérique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec pièces jointes SVG faiblement détectées, menant à une archive 7z chiffrée contenant un exécutable signé et une DLL altérée pour du DLL sideloading. Chaîne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tâche planifiée. Des PDF brandés Adobe redirigent vers une fausse page de mise à jour avec animations réalistes, livrant une version modifiée de ScreenConnect donnant un accès à distance. En Turquie, des entreprises d’ingénierie sont visées via archives XZ contenant VBS/VBE, chaîne multi‑étapes avec stéganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mènent à des fichiers hébergés sur Discord, livrant un EXE Microsoft signé qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour télécharger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol d’identifiants envoyé via Telegram. • Tendances de fichiers et vecteurs 📈 ...

Selon Numerama, le député belge Mathieu Michel a vu son salaire de novembre détourné suite à une demande frauduleuse de changement de compte bancaire envoyée par e-mail à la Chambre des représentants, qui a reconnu une « erreur humaine ». — L’élu explique qu’« un individu a envoyé un e-mail à la Chambre pour demander de verser [son] salaire sur un nouveau compte bancaire » et souligne que « il n’y avait même pas [son] nom dans l’adresse mail ». Ce phishing simple a suffi à aboutir au détournement de rémunération. ...

Source: U.S. Department of Justice (Office of Public Affairs) — Communiqué de presse annonçant la saisie d’un domaine et d’une base de données utilisés dans une fraude de prise de contrôle de comptes bancaires. Le DoJ indique que le domaine web3adspanels.org servait de panneau d’administration (« backend web panel ») pour stocker et manipuler des identifiants bancaires volés. Les criminels diffusaient des publicités frauduleuses sur des moteurs de recherche (Google, Bing) imitant celles de banques légitimes, redirigeant les victimes vers des faux sites bancaires contrôlés par les attaquants. Un logiciel malveillant intégré à ces pages capturait les identifiants, ensuite réutilisés sur les vrais sites bancaires afin de vider les comptes. 💸 ...

Selon BleepingComputer, plusieurs utilisateurs de l’extension Chrome Trust Wallet signalent que leurs portefeuilles de cryptomonnaies ont été vidés après l’installation d’une mise à jour compromise publiée le 24 décembre, déclenchant une réponse urgente de l’éditeur et des avertissements aux personnes affectées. Les faits rapportés indiquent que l’attaque touche l’extension Chrome Trust Wallet, dont une version compromise a été diffusée via une mise à jour. Suite à son installation, des victimes ont constaté le drainage de fonds de leurs portefeuilles. ...

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement étatique cible toujours des organisations en Europe en décembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accès aux comptes Microsoft de cibles de grande valeur. Les victimes identifiées ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intérêt spécifique pour les personnes ou entités impliquées dans des activités en Ukraine. ...

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...