Typosquatting

Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse détaillée (04/03/2026) du réseau Doppelgänger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence. L’étude présente une architecture d’influence industrielle, centrée sur l’usurpation de marques médias à grande échelle et ancrée autour du hub narratif RRN (Reliable Recent News). Le réseau est conçu pour la résilience et la scalabilité, privilégie des TLD à faible coût/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuité opérationnelle malgré les saisies. ...

Source: Malwarebytes — Analyse d’une campagne d’usurpation de site distribuant un installateur RustDesk modifié qui déploie le backdoor Winos4.0. Les chercheurs décrivent une imitation quasi parfaite du site officiel de RustDesk via le domaine malveillant rustdesk[.]work, conçu pour tromper les utilisateurs (SEO/branding) et leur faire télécharger un installateur qui paraît légitime. L’installateur installe le vrai RustDesk afin de conserver l’illusion, mais déploie simultanément un backdoor Winos4.0 offrant un accès persistant aux attaquants. 🎭 ...

Selon BleepingComputer, un domaine typosquatté usurpant l’outil Microsoft Activation Scripts (MAS) a servi à propager des scripts PowerShell malveillants qui installent le chargeur Cosmali sur des systèmes Windows. Faits essentiels: Type d’attaque: typosquatting et usurpation d’outil légitime (MAS) 🪪 Vecteur/chaîne d’infection: scripts PowerShell malveillants exécutés depuis le faux site 🧩 Cible/impact: systèmes Windows infectés par Cosmali Loader (malware/loader) 🐛 Une campagne de typosquatting ciblant les utilisateurs de Microsoft Activation Scripts (MAS) a été utilisée pour diffuser un malware nommé Cosmali Loader via des scripts PowerShell malveillants. ...

Selon une publication de recherche d’Infoblox datée du 16 décembre 2025 et reprise par le journaliste spécialisé Brian Krebs, la navigation directe vers des domaines expirés, parkés ou typosquattés expose désormais majoritairement les internautes à des redirections malveillantes. 🚨 Constat clé: alors qu’en 2014 les redirections malveillantes sur domaines parkés étaient observées dans <5 % des cas, Infoblox relève qu’en 2025 plus de 90 % des visites mènent à du contenu illégal, arnaques, scareware/abonnements antivirus, ou malwares. Les parkings vendent les « clics » à des réseaux publicitaires qui les revendent souvent, jusqu’à un annonceur final sans lien direct avec le parking. ...

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets. ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs). ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses. • Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...