CyberHexagone News - Actus cyber en français
@cyberhexagone.fr
Votre dose quotidienne d'actualité cyber internationale, résumée et traduite en français.
Une nouvelle tendance de phishing utilise des domaines avec le préfixe "com-" pour imiter des sites légitimes, ciblant notamment les utilisateurs de Sunpass en Floride. Une hausse des enregistrements de ces domaines (.top, .xyz, .com) a été observée depuis novembre.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
February 7, 2025 at 10:06 AM
Une nouvelle tendance de phishing utilise des domaines avec le préfixe "com-" pour imiter des sites légitimes, ciblant notamment les utilisateurs de Sunpass en Floride. Une hausse des enregistrements de ces domaines (.top, .xyz, .com) a été observée depuis novembre.
Des chercheurs ont découvert plus de 50 faux sites DeepSeek utilisés pour le phishing, le vol de cryptomonnaies et d'autres escroqueries. Certains imitent parfaitement le site officiel et diffusent des malwares. La campagne évolue rapidement, remplaçant les sites fermés. #Cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
February 7, 2025 at 10:04 AM
Des chercheurs ont découvert plus de 50 faux sites DeepSeek utilisés pour le phishing, le vol de cryptomonnaies et d'autres escroqueries. Certains imitent parfaitement le site officiel et diffusent des malwares. La campagne évolue rapidement, remplaçant les sites fermés. #Cyber
Le groupe chinois DaggerFly cible les appareils Linux avec un backdoor SSH avancé, ELF/Sshdinjector.A!tr, via la campagne Lunar Peek depuis novembre 2024. L'attaque utilise un dropper pour installer des outils compromis, permettant l'exfiltration de données et l'exécution de commandes à distance.
Chinese Hackers Attacking Linux Devices With New SSH Backdoor
Chinese hackers are actively targeting Linux devices with a sophisticated SSH backdoor dubbed ELF/Sshdinjector.A!tr.
cybersecuritynews.com
February 7, 2025 at 10:03 AM
Le groupe chinois DaggerFly cible les appareils Linux avec un backdoor SSH avancé, ELF/Sshdinjector.A!tr, via la campagne Lunar Peek depuis novembre 2024. L'attaque utilise un dropper pour installer des outils compromis, permettant l'exfiltration de données et l'exécution de commandes à distance.
Cisco a corrigé une faille critique (CVE-2025-20156, CVSS 9.9) dans Cisco Meeting Management. Cette faille, due à l'absence de vérification d'autorisation dans l'API REST, permet à un attaquant avec des droits restreints d'envoyer des requêtes API falsifiées pour obtenir des droits administrateur.
Cisco: Critical Meeting Management Bug Requires Urgent Patch
The bug has been given a 9.9 CVSS score, and could allow authenticated threat actors to escalate their privileges to admin-level if exploited.
www.darkreading.com
January 26, 2025 at 9:54 PM
Cisco a corrigé une faille critique (CVE-2025-20156, CVSS 9.9) dans Cisco Meeting Management. Cette faille, due à l'absence de vérification d'autorisation dans l'API REST, permet à un attaquant avec des droits restreints d'envoyer des requêtes API falsifiées pour obtenir des droits administrateur.
Qualys a découvert un botnet nommé Murdoc, une variante de Mirai exploitant les vulnérabilités des caméras AVTECH et des routeurs Huawei HG532. Actif depuis 2024, celui-ci utilise des scripts Shell et des fichiers ELF pour infecter plus de 1300 IPs en Malaisie, Thaïlande, Mexique et Indonésie.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 26, 2025 at 9:48 PM
Qualys a découvert un botnet nommé Murdoc, une variante de Mirai exploitant les vulnérabilités des caméras AVTECH et des routeurs Huawei HG532. Actif depuis 2024, celui-ci utilise des scripts Shell et des fichiers ELF pour infecter plus de 1300 IPs en Malaisie, Thaïlande, Mexique et Indonésie.
Une campagne massive impliquant près de 1 000 fausses pages web imitant Reddit et WeTransfer a été découverte. Elle vise à diffuser le malware Lumma Stealer, un outil sophistiqué de vol d'informations. Les attaquants utilisent des noms de domaine trompeurs et des techniques comme le malvertising.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 26, 2025 at 9:40 PM
Une campagne massive impliquant près de 1 000 fausses pages web imitant Reddit et WeTransfer a été découverte. Elle vise à diffuser le malware Lumma Stealer, un outil sophistiqué de vol d'informations. Les attaquants utilisent des noms de domaine trompeurs et des techniques comme le malvertising.
Un nouveau kit de phishing, Sneaky 2FA, cible les comptes Microsoft 365 via un service de phishing en tant que service (Phishing-as-a-Service) appelé Sneaky Log. Ce kit s’appuie sur des techniques d'obfuscation, d'anti-analyse et sur des sites WordPress compromis pour mener ses attaques. #Cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 19, 2025 at 6:39 PM
Un nouveau kit de phishing, Sneaky 2FA, cible les comptes Microsoft 365 via un service de phishing en tant que service (Phishing-as-a-Service) appelé Sneaky Log. Ce kit s’appuie sur des techniques d'obfuscation, d'anti-analyse et sur des sites WordPress compromis pour mener ses attaques. #Cyber
Un faux exploit de la faille LDAPNightmare (CVE-2024-49113) diffuse un malware. Le dépôt contient un fichier lançant un script PowerShell qui crée une tâche planifiée pour exécuter un script depuis Pastebin. Le malware collecte et exfiltre des données via un serveur externe FTP. #Cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 15, 2025 at 10:29 PM
Un faux exploit de la faille LDAPNightmare (CVE-2024-49113) diffuse un malware. Le dépôt contient un fichier lançant un script PowerShell qui crée une tâche planifiée pour exécuter un script depuis Pastebin. Le malware collecte et exfiltre des données via un serveur externe FTP. #Cyber
Des cybercriminels se font passer pour des recruteurs de CrowdStrike, envoyant des e-mails frauduleux pour de faux entretiens. Ces messages dirigent les victimes vers un site malveillant où elles téléchargent une application CRM fictive qui installe en réalité le cryptomineur XMRig.
Fake CrowdStrike Job Interviews Become Latest Hacker Tactic
Cybercriminals are luring victims into downloading the XMRig cryptomining malware via convincing emails, inviting them to schedule fake interviews using a malicious link.
www.darkreading.com
January 12, 2025 at 2:28 PM
Des cybercriminels se font passer pour des recruteurs de CrowdStrike, envoyant des e-mails frauduleux pour de faux entretiens. Ces messages dirigent les victimes vers un site malveillant où elles téléchargent une application CRM fictive qui installe en réalité le cryptomineur XMRig.
Une campagne de phishing sophistiquée cible les personnes en recherche d'emplois. Un email dirige les victimes vers un site malveillant où un fichier piégé sert à installer le cryptomineur XMRig. Le malware évite la détection et assure sa persistance. #cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 10, 2025 at 1:36 PM
Une campagne de phishing sophistiquée cible les personnes en recherche d'emplois. Un email dirige les victimes vers un site malveillant où un fichier piégé sert à installer le cryptomineur XMRig. Le malware évite la détection et assure sa persistance. #cyber
Des cybercriminels exploitent une fonctionnalité de Microsoft 365 pour envoyer de fausses demandes de paiement aux utilisateurs de PayPal. En créant des domaines de test 365, ils contournent les filtres anti-hameçonnage, rendant leurs e-mails frauduleux légitimes aux yeux des logiciels de sécurité.
Unconventional Cyberattacks Aim for PayPal Account Takeover
Attackers are abusing a Microsoft 365 feature to send payment requests to users, tricking them into logging in to their accounts so attackers can seize control over them.
www.darkreading.com
January 8, 2025 at 9:28 PM
Des cybercriminels exploitent une fonctionnalité de Microsoft 365 pour envoyer de fausses demandes de paiement aux utilisateurs de PayPal. En créant des domaines de test 365, ils contournent les filtres anti-hameçonnage, rendant leurs e-mails frauduleux légitimes aux yeux des logiciels de sécurité.
Le botnet Gayfemboy, découvert en février 2024, a évolué d’un dérivé de Mirai à un réseau avancé. Exploitant une faille 0-day des routeurs Four-Faith et d'autres vulnérabilités, il compte 15 000 nœuds actifs. Il intègre auto-mises à jour, scannage et diverses attaques DDoS. #Cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
January 8, 2025 at 9:21 PM
Le botnet Gayfemboy, découvert en février 2024, a évolué d’un dérivé de Mirai à un réseau avancé. Exploitant une faille 0-day des routeurs Four-Faith et d'autres vulnérabilités, il compte 15 000 nœuds actifs. Il intègre auto-mises à jour, scannage et diverses attaques DDoS. #Cyber
La veille de Noël, des développeurs de Cyberhaven ont reçu un faux courriel de « Google ». Un employé a cliqué sur un lien, donnant ses accès à une application malveillante. L'attaquant a ensuite modifié l'extension de Cyberhaven pour voler des jetons Facebook et installer un écouteur de clics.
Chrome Compromises Highlight Software Supply Challenges
A browser-extension compromise underscores the challenges in protecting companies from rogue browser add-ons and in shoring up software supply chains.
www.darkreading.com
January 6, 2025 at 8:47 AM
La veille de Noël, des développeurs de Cyberhaven ont reçu un faux courriel de « Google ». Un employé a cliqué sur un lien, donnant ses accès à une application malveillante. L'attaquant a ensuite modifié l'extension de Cyberhaven pour voler des jetons Facebook et installer un écouteur de clics.
Le groupe Cloud Atlas lance VBCloud, un backdoor visant l’Europe de l’Est et l’Asie centrale. Le malware se propage via phishing (CVE-2018-0802) et télécharge un HTA malveillant. Le backdoor VBShower installe ensuite deux backdoors : VBCloud (vole les données) et PowerShower (reconnaissance).
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 23, 2024 at 11:17 PM
Le groupe Cloud Atlas lance VBCloud, un backdoor visant l’Europe de l’Est et l’Asie centrale. Le malware se propage via phishing (CVE-2018-0802) et télécharge un HTA malveillant. Le backdoor VBShower installe ensuite deux backdoors : VBCloud (vole les données) et PowerShower (reconnaissance).
Araneida, un scanner piraté de Acunetix, découvert par Silent Push Threat Analysts, est utilisé pour la reconnaissance offensive, la collecte de données et l’exploitation de failles. Promu sur Telegram, ce logiciel a permis de compromettre des milliers de sites. #Cyber #News
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 22, 2024 at 11:39 AM
D’après McAfee Labs, l’application « BMI CalculationVsn », autrefois hébergée sur l’Amazon Appstore, dissimulait un spyware. Sous couvert d’un outil de santé, elle dérobait les noms de paquets des applications installées et interceptait les messages SMS entrants. #Cyber #News #Amazon
www.mcafee.com
December 21, 2024 at 4:03 PM
Un fichier malveillant, « christmas_slab.pdf.lnk », exploite SSH intégré à Windows pour propager un logiciel malveillant. Il exécute ssh.exe pour télécharger et exécuter un fichier PE depuis un serveur distant via SSH/SCP. La charge utile provient d’une IP associée à Apple. #Cyber #News #Noël
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 21, 2024 at 1:16 AM
NotLockBit est une famille de ransomware avancée inspirée de LockBit, ciblant macOS et Windows. En binaire Golang, il chiffre des fichiers, exfiltre des données via AWS, modifie le fond d'écran puis s'efface. L'analyse montre des variations d’offuscation et de compilation, soulignant son évolution.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 19, 2024 at 8:17 PM
NotLockBit est une famille de ransomware avancée inspirée de LockBit, ciblant macOS et Windows. En binaire Golang, il chiffre des fichiers, exfiltre des données via AWS, modifie le fond d'écran puis s'efface. L'analyse montre des variations d’offuscation et de compilation, soulignant son évolution.
LummaStealer, actif depuis 2022, est un malware proposé en tant que service qui cible les particuliers, les crypto-traders et les entreprises. Récemment, il a évolué avec des tactiques de social engineering plus sophistiquées et l'utilisation de plateformes légitimes comme Steam et Dropbox. #Cyber
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 18, 2024 at 10:39 PM
LummaStealer, actif depuis 2022, est un malware proposé en tant que service qui cible les particuliers, les crypto-traders et les entreprises. Récemment, il a évolué avec des tactiques de social engineering plus sophistiquées et l'utilisation de plateformes légitimes comme Steam et Dropbox. #Cyber
Le cheval de Troie DarkGate utilise un nouveau vecteur d'attaque, le vishing : un appel vocal sur Microsoft Teams pour infecter un appareil. Cette méthode s’ajoute à d’autres comme les courriels d'hameçonnage, la publicité malveillante, les détournements de Skype/Teams et l'empoisonnement SEO.
Microsoft Teams Vishing Spreads DarkGate RAT
A thwarted attack demonstrates threat actors using yet another delivery method for the malware, which already has been spread using phishing emails, malvertising, hijacking of instant messages, and SE...
www.darkreading.com
December 17, 2024 at 10:50 PM
Le cheval de Troie DarkGate utilise un nouveau vecteur d'attaque, le vishing : un appel vocal sur Microsoft Teams pour infecter un appareil. Cette méthode s’ajoute à d’autres comme les courriels d'hameçonnage, la publicité malveillante, les détournements de Skype/Teams et l'empoisonnement SEO.
VIPKeyLogger, un nouvel infostealer, se propage via des campagnes de phishing en pièces jointes (archives ou fichiers Microsoft 365) exécutant du code .NET. Utilisant la stéganographie, il vole des données (PC, captures d’écran, cookies, etc.) et les exfiltre via Telegram vers des serveurs DuckDNS.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 16, 2024 at 5:15 PM
VIPKeyLogger, un nouvel infostealer, se propage via des campagnes de phishing en pièces jointes (archives ou fichiers Microsoft 365) exécutant du code .NET. Utilisant la stéganographie, il vole des données (PC, captures d’écran, cookies, etc.) et les exfiltre via Telegram vers des serveurs DuckDNS.
Une campagne d'hameçonnage, nommée « Aggressive Inventory Zombies » (AIZ), cible des détaillants comme Etsy, Amazon, eBay et des utilisateurs de cryptomonnaies via des sites de phishing sophistiqués. Celle-ci utilise diverses tactiques, tel que des prix en gros et des widgets de chat en direct.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 15, 2024 at 1:10 PM
Une campagne d'hameçonnage, nommée « Aggressive Inventory Zombies » (AIZ), cible des détaillants comme Etsy, Amazon, eBay et des utilisateurs de cryptomonnaies via des sites de phishing sophistiqués. Celle-ci utilise diverses tactiques, tel que des prix en gros et des widgets de chat en direct.
Une campagne active de ransomware cible actuellement les solutions de transfert de fichiers gérées par Cleo, notamment Cleo Harmony, Cleo VLTrader et Cleo LexiCon. Cette attaque exploite une vulnérabilité zero-day, surnommée "Cléopâtre", permettant l'exécution de code à distance.
Cleo MFT Zero-Day Exploits Are About Escalate
Defenders running the Cleo managed file transfer are urged to be on the lookout for the Cleopatra backdoor and other indicators of an ongoing ransomware campaign, as patching details remain foggy, and...
www.darkreading.com
December 14, 2024 at 6:14 PM
Une campagne active de ransomware cible actuellement les solutions de transfert de fichiers gérées par Cleo, notamment Cleo Harmony, Cleo VLTrader et Cleo LexiCon. Cette attaque exploite une vulnérabilité zero-day, surnommée "Cléopâtre", permettant l'exécution de code à distance.
Des chercheurs ont découvert que plus de 40 000 serveurs Prometheus et 296 000 "exporters" sont exposés sur le Web, divulguant des mots de passe en clair, des tokens et des adresses API internes. Cette exposition rend ces instances vulnérables à des attaques par déni de service et au "repojacking".
336K Prometheus Instances Exposed to DoS, 'Repojacking'
Open source Prometheus servers and exporters are leaking plaintext passwords and tokens, along with API addresses of internal locations.
www.darkreading.com
December 13, 2024 at 6:31 PM
Des chercheurs ont découvert que plus de 40 000 serveurs Prometheus et 296 000 "exporters" sont exposés sur le Web, divulguant des mots de passe en clair, des tokens et des adresses API internes. Cette exposition rend ces instances vulnérables à des attaques par déni de service et au "repojacking".
Une campagne sophistiquée de « mishing » cible les appareils Android pour voler des identifiants bancaires, de cryptomonnaies et d'applications critiques. Elle utilise des sites de phishing pour diffuser un nouveau cheval de Troie bancaire, AppLite Banker. AppLite peut imiter d'autres applications.
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
December 12, 2024 at 6:40 PM
Une campagne sophistiquée de « mishing » cible les appareils Android pour voler des identifiants bancaires, de cryptomonnaies et d'applications critiques. Elle utilise des sites de phishing pour diffuser un nouveau cheval de Troie bancaire, AppLite Banker. AppLite peut imiter d'autres applications.