Windows

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...

Selon une publication technique de ProjectBlack, des chercheurs ont mis au jour une vulnérabilité critique de type Local File Inclusion (LFI) non authentifiée affectant la plateforme de suivi GPS Traccar sur Windows, permettant la lecture de fichiers arbitraires et l’exposition d’identifiants sensibles. La faille provient du composant DefaultOverrideServlet de Traccar, où la méthode getResource() passe le paramètre contrôlé par l’utilisateur à Jetty Resource.addPath() sans validation suffisante des séquences d’échappement spécifiques à Windows. Bien que Jetty URIUtil.canonicalPath() bloque les traversées de chemin avec des slashs, il ne neutralise pas correctement les backslashes sous Windows, ouvrant la voie à une LFI non authentifiée. ...

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. 🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur. ...

Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable. ...

Selon BleepingComputer, Microsoft annonce que les applications Microsoft 365 pour Windows bloqueront par défaut l’accès aux fichiers via le protocole d’authentification hérité FPRPC, jugé non sécurisé, à partir de la fin du mois d’août. 🔒 Mesure annoncée : blocage par défaut de l’accès aux fichiers via FPRPC. 🧩 Produits concernés : applications Microsoft 365 pour Windows. 🗓️ Calendrier : déploiement à partir de fin août. 🎯 Motif mis en avant : le protocole FPRPC est considéré comme non sécurisé. Type d’article : mise à jour de produit. Objectif principal : informer du durcissement par défaut contre un protocole d’authentification hérité non sécurisé. ...

L’article publié par GBHackers Security révèle une campagne de malware sophistiquée qui cible les systèmes Windows en utilisant des fichiers de raccourci LNK malveillants. Cette attaque a été découverte suite à la détection de deux adresses IP de scan, 91.238.181[.]225 et 5.188.86[.]169, partageant une empreinte SSH commune. Les chercheurs en cybersécurité ont identifié que cette campagne utilise les fichiers LNK pour déployer le REMCOS backdoor, un cheval de Troie d’accès à distance capable de compromettre entièrement un système. Le REMCOS est connu pour ses capacités à exécuter des commandes à distance, enregistrer les frappes au clavier et voler des informations sensibles. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe. BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact. ...