TTP

L’article de DoublePulsar, écrit par Kevin Beaumont, met en lumière une nouvelle vulnérabilité critique nommée CitrixBleed 2 (CVE-2025–5777) affectant les produits Citrix Netscaler. CitrixBleed 2 est une faille de sécurité qui permet à un attaquant de lire la mémoire des serveurs Netscaler configurés comme Gateway ou AAA virtual server, ce qui est courant dans les grandes organisations. La vulnérabilité est exploitable à distance et sans authentification, exposant potentiellement des informations sensibles telles que des jetons de session, qui peuvent être utilisés pour usurper des sessions Citrix et contourner l’authentification multifacteur. ...

Dans un article publié par mr.d0x, une nouvelle méthode de phishing appelée FileFix est présentée comme une alternative à l’attaque ClickFix. Cette technique exploite la fonctionnalité de téléchargement de fichiers des navigateurs pour exécuter des commandes système sans quitter le navigateur. La méthode FileFix utilise la barre d’adresse de l’explorateur de fichiers pour exécuter des commandes OS. Le processus implique de tromper l’utilisateur en lui faisant croire qu’un fichier lui a été partagé et en l’incitant à coller une commande malveillante dans la barre d’adresse de l’explorateur de fichiers. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...

L’article de Check Point Research révèle une campagne malveillante ciblant les utilisateurs de Minecraft via le réseau Stargazers Ghost, opérant sur GitHub. Les attaquants distribuent des mods Minecraft infectés qui volent des données personnelles. La campagne utilise un processus en plusieurs étapes pour infecter les systèmes. Les mods malveillants, déguisés en outils de triche, téléchargent un voleur de données en Java, suivi d’un autre en .NET, ciblant spécifiquement les utilisateurs ayant Minecraft installé. ...

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...

L’article publié par Qualys TRU révèle la découverte de deux vulnérabilités d’escalade de privilèges locales (LPE) sur SUSE Linux. Ces vulnérabilités, identifiées comme CVE-2025-6018 et CVE-2025-6019, permettent à un attaquant non privilégié d’obtenir un accès root complet. La première vulnérabilité, CVE-2025-6018, se trouve dans la configuration PAM d’openSUSE Leap 15 et SUSE Linux Enterprise 15. Elle permet à un attaquant local, via SSH par exemple, de s’élever au niveau de l’utilisateur “allow_active” et d’invoquer des actions polkit normalement réservées à un utilisateur physiquement présent. ...

Selon un article publié par Bleeping Computer, une nouvelle version du malware Android connu sous le nom de ‘Godfather’ a été détectée. Ce malware est conçu pour créer des environnements virtuels isolés sur les appareils mobiles afin de voler des données de compte et des transactions à partir d’applications bancaires légitimes. Le malware ‘Godfather’ cible spécifiquement les utilisateurs d’applications bancaires en créant un environnement sécurisé qui imite l’application bancaire légitime. Cela permet au malware de capturer les informations sensibles des utilisateurs, telles que les identifiants de connexion et les détails des transactions. ...

Elastic Security Labs a détecté une augmentation des campagnes utilisant la technique ClickFix, une méthode d’ingénierie sociale qui incite les utilisateurs à exécuter du code malveillant via des commandes PowerShell. Cette technique est exploitée pour déployer des Remote Access Trojans (RATs) et des malware voleurs d’informations. Le rapport met en lumière l’utilisation de GHOSTPULSE, un chargeur de payloads multi-étapes, pour introduire des versions mises à jour de malwares tels que ARECHCLIENT2. Cette campagne commence par un leurre ClickFix, suivi du déploiement de GHOSTPULSE, qui charge ensuite un loader .NET intermédiaire pour finalement injecter ARECHCLIENT2 en mémoire. ...

Dans un article publié sur le Frycos Security Diary, un analyste en cybersécurité partage sa découverte d’une variante de vulnérabilité Nday sur le Zyxel NWA50AX Pro, un point d’accès WiFi 6 destiné aux petites entreprises. L’analyste, en vacances, a exploré le firmware de l’appareil et a découvert une configuration du serveur lighttpd permettant l’accès non authentifié à certains endpoints CGI. En analysant les fichiers de configuration et en testant les réponses HTTP, il a pu accéder à des fichiers CGI sans authentification, révélant une potentielle faille de sécurité. ...