WhatsApp

Selon TechCrunch, WhatsApp a informé Francesco Nicodemo, consultant travaillant avec des responsables politiques de centre-gauche en Italie, que son téléphone avait été ciblé par le spyware Paragon. Après 10 mois de silence, Nicodemo a rendu l’affaire publique, élargissant encore le scandale de surveillance par spyware en Italie, qui touche déjà des journalistes, des militants pour l’immigration et des dirigeants d’entreprise. 🕵️‍♂️ Nicodemo a publié un message sur Facebook exprimant ses interrogations sur l’usage d’un outil aussi sophistiqué contre un citoyen privé. Le site Fanpage avait été le premier à rapporter qu’il faisait partie des personnes notifiées par WhatsApp en janvier. ...

Contexte — BleepingComputer rapporte que Meta a annoncé de nouveaux outils destinés à renforcer la sécurité des utilisateurs de WhatsApp et Messenger. 🔒 Meta déploie de nouveaux outils anti-arnaques sur WhatsApp et Messenger Meta a annoncé le lancement de nouvelles fonctionnalités de sécurité destinées à aider les utilisateurs de WhatsApp et Messenger à se protéger contre les escroqueries en ligne et les tentatives de compromission de comptes. Sur Messenger, une détection avancée des arnaques est en phase de test. Elle avertit les utilisateurs lorsqu’un contact inconnu envoie un message suspect et leur propose de soumettre les messages récents à une analyse par IA pour détecter d’éventuels signes d’escroquerie. En cas de détection, une alerte détaillée apparaît avec des actions suggérées, comme bloquer ou signaler l’expéditeur. Cette option est activée par défaut, mais peut être désactivée dans les paramètres de confidentialité et de sécurité. ...

Selon Socket (Socket.dev), l’équipe Socket Threat Research Team a mis au jour une campagne coordonnée opérant depuis au moins neuf mois et distribuant 131 clones rebrandés d’une extension d’automatisation pour WhatsApp Web via le Chrome Web Store, visant des utilisateurs brésiliens. • Nature de la menace: un cluster de spamware permettant l’automatisation d’envois massifs de messages sur WhatsApp Web, en violation des politiques du Chrome Web Store et de WhatsApp. La campagne opère sur un modèle de revente/franchise, avec des variantes différenciées par noms, logos et pages d’atterrissage, mais partageant le même code et la même infrastructure. 🚨 ...

Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect. La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA. ...

Source: Sophos News — Secureworks Counter Threat Unit enquête sur une campagne active depuis le 29 septembre 2025 visant des utilisateurs WhatsApp au Brésil 🇧🇷. L’opération mêle ingénierie sociale, auto‑propagation via WhatsApp Web et livraison de trojans bancaires avec des similarités techniques aux opérations Coyote. Plus de 400 environnements clients et >1 000 endpoints sont concernés. Le vecteur initial repose sur un fichier LNK malveillant contenu dans une archive ZIP, reçu depuis des contacts WhatsApp compromis. À l’exécution, des commandes PowerShell obfusquées sont lancées, récupérant un second étage depuis des C2 qui désactivent Windows Defender et l’UAC 🧩. ...

Selon Trend Micro Research, une campagne agressive de malware baptisée SORVEPOTEL exploite WhatsApp comme vecteur principal d’infection et touche surtout des organisations au Brésil. Le malware se diffuse via des archives ZIP piégées déguisées en documents légitimes envoyées sur WhatsApp (et potentiellement par email). Une fois ouvertes, des fichiers LNK malveillants déclenchent des commandes PowerShell obfusquées (fenêtre cachée et payload Base64) qui téléchargent des scripts depuis une infrastructure d’attaque dédiée. SORVEPOTEL établit une persistance sur Windows et détourne les sessions WhatsApp Web actives pour envoyer automatiquement le ZIP malveillant à tous les contacts et groupes, entraînant une propagation rapide et des bannissements fréquents de comptes. ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Source: TechCrunch (Zack Whittaker), 29 août 2025. WhatsApp a corrigé une faille exploitée dans ses apps iOS et Mac, utilisée avec une vulnérabilité Apple, pour mener des intrusions « zéro‑clic » contre des utilisateurs ciblés. WhatsApp indique avoir patché la vulnérabilité suivie comme CVE-2025-55177, abusée en conjonction avec une faille iOS/macOS (CVE-2025-43300) qu’Apple a corrigée la semaine précédente. Selon WhatsApp, l’attaque visait des utilisateurs spécifiques et l’entreprise a envoyé moins de 200 notifications aux comptes affectés. Apple a qualifié l’opération d’« extrêmement sophistiquée ». ...

Selon le blog de Check Point, une campagne active de phishing a exploité l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 août 2025, visant 13 500 organisations à travers plusieurs régions. Vecteur : Abus de Google Classroom via de fausses invitations à rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel à l’action : Redirection vers un numéro WhatsApp afin de déplacer l’échange hors des canaux surveillés par l’entreprise. 📱 Portée : 5 vagues coordonnées en une semaine, ciblant des organisations en Europe, Amérique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordée aux services Google pour contourner des filtres basés sur la réputation de l’expéditeur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a détecté et bloqué la majorité des tentatives, et que des couches additionnelles ont empêché le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud légitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques évolutives de phishing. ...

Selon FRANCE 24 (avec AFP), les autorités russes annoncent des restrictions partielles des appels sur WhatsApp et Telegram, justifiées par la lutte contre la criminalité en ligne. L’autorité de régulation Roskomnadzor affirme que ces messageries sont devenues « les principaux services vocaux » utilisés pour la fraude et l’extorsion, et pour impliquer des citoyens russes dans des activités subversives et terroristes. Les services de sécurité russes ont à plusieurs reprises soutenu que l’Ukraine utiliserait Telegram pour recruter ou mener des actes de sabotage en Russie. ...