Campagne de cryptojacking GPU via SEO poisoning et manipulation de chatbots IA

🎯 Contexte Source : BleepingComputer, publiĂ© le 27 mai 2026. Microsoft a dĂ©couvert et analysĂ© une campagne de cryptojacking active ciblant spĂ©cifiquement les systĂšmes Ă©quipĂ©s de GPU haute performance, diffusĂ©e via une opĂ©ration coordonnĂ©e de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirĂ©es vers des pages de tĂ©lĂ©chargement malveillantes imitant des utilitaires lĂ©gitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostĂ©s dans les rĂ©sultats de recherche via SEO poisoning. En avril, des cas ont Ă©galement Ă©tĂ© signalĂ©s oĂč des chatbots IA (dont ChatGPT) ont redirigĂ© des utilisateurs vers des domaines contrĂŽlĂ©s par les attaquants dans leurs rĂ©ponses gĂ©nĂ©rĂ©es. ...

28 mai 2026 Â· 3 min

Campagne de cryptojacking via SEO poisoning et IA abusant ScreenConnect et .NET

🔍 Contexte PubliĂ© le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport dĂ©taille une campagne active de cryptojacking sophistiquĂ©e identifiĂ©e depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accĂšs distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible dĂ©libĂ©rĂ©ment les utilisateurs possĂ©dant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

28 mai 2026 Â· 5 min

Campagne ClickFix : XWorm V5.6 livré via PhantomVAI en 5 étapes sur site médical turc compromis

🔍 Contexte PubliĂ© le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article prĂ©sente une dĂ©couverte CTI issue d’une mĂ©thodologie de chasse technique basĂ©e sur l’analyse des corps de rĂ©ponses HTTP Ă  l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrĂ©e et infrastructure compromise Le point d’entrĂ©e est le site d’une entreprise turque de matĂ©riel mĂ©dical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulĂ©e “AntiFraud Authenticator”. Cette page ClickFix invite la victime Ă  cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodĂ©e dans le presse-papiers via navigator.clipboard.writeText(). ...

5 avril 2026 Â· 5 min

QuirkyLoader : nouveau loader .NET (AOT) qui diffuse infostealers et RATs via DLL side‑loading

Source et contexte — IBM X-Force publie une analyse technique de « QuirkyLoader », observĂ© depuis novembre 2024, un nouveau loader employĂ© pour dĂ©poser des charges additionnelles sur des hĂŽtes dĂ©jĂ  compromis. L’article dĂ©taille la chaĂźne d’infection, les techniques d’évasion, les familles livrĂ©es, la victimologie rĂ©cente (TaĂŻwan, Mexique) et des indicateurs d’infraction associĂ©s. ChaĂźne d’infection — La campagne dĂ©bute par des e‑mails de spam contenant une archive malveillante. Celle‑ci regroupe un exĂ©cutable lĂ©gitime, un payload chiffrĂ© (dĂ©guisĂ© en DLL) et un module DLL loader. L’acteur exploite le DLL side‑loading: l’exĂ©cutable lĂ©gitime charge la DLL malveillante, qui lit et dĂ©chiffre la charge, puis l’injecte dans un processus cible. Le module DLL est systĂ©matiquement Ă©crit en C# .NET et compilĂ© en Ahead‑of‑Time (AOT), produisant un binaire natif qui ressemble Ă  du C/C++. Un variant notĂ© utilise le chiffre Speck‑128 en mode CTR pour gĂ©nĂ©rer un keystream (opĂ©rations ARX) et dĂ©chiffrer le payload par XOR en blocs de 16 octets. ...

24 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝