PowerShell

Source: Talos Intelligence — Dans un contexte d’incertitude économique, cette analyse détaille des approches pour maintenir une cybersécurité efficace avec des budgets serrés, en combinant optimisation des outils existants, durcissement ciblé et priorisation de la visibilité. L’étude met l’accent sur l’optimisation des capacités en place plutôt que sur de nouveaux achats : défense en profondeur pour les systèmes legacy, combinaison de solutions open source et commerciales, et maximisation des configurations de sécurité sans dépenses additionnelles. Elle traite aussi des enjeux RH via rétention des talents et partenariats de spécialistes, tout en favorisant la réduction de la surface d’attaque et une journalisation/alerte renforcées sur les actifs vulnérables. ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...

Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion. Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes. ...

Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect. La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA. ...

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...

Source: Sophos News — Secureworks Counter Threat Unit enquête sur une campagne active depuis le 29 septembre 2025 visant des utilisateurs WhatsApp au Brésil 🇧🇷. L’opération mêle ingénierie sociale, auto‑propagation via WhatsApp Web et livraison de trojans bancaires avec des similarités techniques aux opérations Coyote. Plus de 400 environnements clients et >1 000 endpoints sont concernés. Le vecteur initial repose sur un fichier LNK malveillant contenu dans une archive ZIP, reçu depuis des contacts WhatsApp compromis. À l’exécution, des commandes PowerShell obfusquées sont lancées, récupérant un second étage depuis des C2 qui désactivent Windows Defender et l’UAC 🧩. ...

Selon Trend Micro Research, une campagne agressive de malware baptisée SORVEPOTEL exploite WhatsApp comme vecteur principal d’infection et touche surtout des organisations au Brésil. Le malware se diffuse via des archives ZIP piégées déguisées en documents légitimes envoyées sur WhatsApp (et potentiellement par email). Une fois ouvertes, des fichiers LNK malveillants déclenchent des commandes PowerShell obfusquées (fenêtre cachée et payload Base64) qui téléchargent des scripts depuis une infrastructure d’attaque dédiée. SORVEPOTEL établit une persistance sur Windows et détourne les sessions WhatsApp Web actives pour envoyer automatiquement le ZIP malveillant à tous les contacts et groupes, entraînant une propagation rapide et des bannissements fréquents de comptes. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrôle open source activement employé par des acteurs malveillants. Cet outil de post‑exploitation offre un contrôle étendu du système, la manipulation de fichiers et l’exfiltration de données tout en restant largement discret. 🚨AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisé en conditions réelles depuis mai 2025 pour des attaques ciblées Il permet aux acteurs malveillants d’exécuter des commandes, d’exfiltrer des données, de manipuler des fichiers et de maintenir une activité furtive sur les machines compromises. Sa modularité, ses capacités de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile à détecter ...