PowerShell

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...

Source: Sophos News — Secureworks Counter Threat Unit enquête sur une campagne active depuis le 29 septembre 2025 visant des utilisateurs WhatsApp au Brésil 🇧🇷. L’opération mêle ingénierie sociale, auto‑propagation via WhatsApp Web et livraison de trojans bancaires avec des similarités techniques aux opérations Coyote. Plus de 400 environnements clients et >1 000 endpoints sont concernés. Le vecteur initial repose sur un fichier LNK malveillant contenu dans une archive ZIP, reçu depuis des contacts WhatsApp compromis. À l’exécution, des commandes PowerShell obfusquées sont lancées, récupérant un second étage depuis des C2 qui désactivent Windows Defender et l’UAC 🧩. ...

Selon Trend Micro Research, une campagne agressive de malware baptisée SORVEPOTEL exploite WhatsApp comme vecteur principal d’infection et touche surtout des organisations au Brésil. Le malware se diffuse via des archives ZIP piégées déguisées en documents légitimes envoyées sur WhatsApp (et potentiellement par email). Une fois ouvertes, des fichiers LNK malveillants déclenchent des commandes PowerShell obfusquées (fenêtre cachée et payload Base64) qui téléchargent des scripts depuis une infrastructure d’attaque dédiée. SORVEPOTEL établit une persistance sur Windows et détourne les sessions WhatsApp Web actives pour envoyer automatiquement le ZIP malveillant à tous les contacts et groupes, entraînant une propagation rapide et des bannissements fréquents de comptes. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrôle open source activement employé par des acteurs malveillants. Cet outil de post‑exploitation offre un contrôle étendu du système, la manipulation de fichiers et l’exfiltration de données tout en restant largement discret. 🚨AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisé en conditions réelles depuis mai 2025 pour des attaques ciblées Il permet aux acteurs malveillants d’exécuter des commandes, d’exfiltrer des données, de manipuler des fichiers et de maintenir une activité furtive sur les machines compromises. Sa modularité, ses capacités de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile à détecter ...

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise. L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur. Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre. ...

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

Source: ncsc.admin.ch (OFCS/NCSC), communication du 19.08.2025. L’office décrit deux incidents survenus la semaine précédente illustrant l’évolution des méthodes d’ingénierie sociale pour installer des logiciels malveillants, malgré la baisse apparente des signalements de malware au S1 2025 (182 cas, ~0,4%). • Contexte chiffré: au premier semestre 2025, seuls 182 signalements liés aux logiciels malveillants ont été reçus (~0,4%). Le NCSC avance deux lectures: d’un côté, les protections techniques (antivirus, filtres anti‑spam) bloquent davantage; de l’autre, les attaques deviennent plus furtives et passent inaperçues. ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...