Cybermenace sur l'Europe : les nouvelles armes numériques de Moscou - Actus du 28/03/2025
Découvrez pourquoi les nouveaux contournements de sécurité d'Ubuntu Linux requièrent des atténuations manuelles. Plongée dans les cybermenaces silencieuses et les armes numériques de Moscou qui ciblent l'Europe. Protégez vos systèmes dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les nouveaux contournements de sécurité Ubuntu Linux nécessitent des atténuations manuelles
Trois contournements de sécurité ont été découverts dans les restrictions des espaces de noms d'utilisateurs non privilégiés d'Ubuntu Linux, permettant à un attaquant local d'exploiter des vulnérabilités dans les composants du noyau. Ces problèmes affectent les versions 23.10 et 24.04 d'Ubuntu, où les restrictions sont activées par défaut. Les espaces de noms d'utilisateurs permettent aux utilisateurs d'agir comme root dans un environnement isolé sans avoir les mêmes privilèges sur l'hôte. Bien qu'Ubuntu ait ajouté des restrictions basées sur AppArmor pour limiter les abus, des chercheurs de Qualys ont identifié trois méthodes de contournement :
- aa-exec : Exploitation de l'outil aa-exec pour exécuter des programmes sous des profils AppArmor permissifs, permettant la création d'espaces de noms avec des capacités administratives.
- busybox : Utilisation de busybox, qui permet également la création d'espaces de noms non restreints.
- LD_PRELOAD : Injection d'une bibliothèque partagée dans un processus de confiance pour lancer un espace de noms privilégié.
Canonical a reconnu ces découvertes et travaille sur des améliorations des protections AppArmor, tout en conseillant aux administrateurs d'appliquer certaines mesures de durcissement.
Sources :
Quand les voleurs traquent en silence
La découverte d'un traceur GPS caché sur une voiture par le site Zataz met en lumière une méthode de surveillance de plus en plus utilisée par les réseaux criminels pour cibler des véhicules et des domiciles. Ce dispositif, discret et connecté, permet de suivre un véhicule en temps réel via les réseaux GSM, sans que le propriétaire ne s'en aperçoive. En 2021, des alertes avaient déjà été émises concernant l'utilisation des Air Tag d'Apple pour espionner. Ces traceurs permettent de cartographier les habitudes du conducteur et d'identifier les moments propices au vol. Une fois la voiture géolocalisée, elle devient un appât pour d'autres délits, transformant la technologie en outil de délinquance. En France, un véhicule est volé toutes les quatre minutes, soulignant l'ampleur du problème. Les traceurs, vendus entre 30 et 150 euros, peuvent être utilisés pour détecter des signaux suspects, mais leur efficacité dépend de la méthode d'utilisation. Il est recommandé d'inspecter minutieusement le véhicule, car un tag visible peut en cacher un autre. Les criminels utilisent des outils technologiques avancés, souvent accessibles en ligne, rendant la cybersécurité essentielle dans la lutte contre ce type de criminalité.
Sources :
Cybermenace sur l’Europe : les nouvelles armes numériques de Moscou
Deux groupes de hackers pro-russes, UAC-0050 et UAC-0006, mènent des attaques cybernétiques sophistiquées contre l'Ukraine et ses alliés, intégrant cybercriminalité, espionnage et guerre psychologique. UAC-0050, considéré comme un groupe mercenaire lié aux services de sécurité russes, se concentre sur le vol d'informations financières et l'ingénierie sociale. UAC-0006, actif depuis plus d'une décennie, cible les systèmes informatiques ukrainiens pour détourner des fonds. Ces groupes exploitent des infrastructures d'hébergement « bulletproof », rendant leurs opérations difficiles à traquer. UAC-0050 utilise des réseaux offshore, tandis qu'UAC-0006 s'appuie sur des entités britanniques contrôlées par des sociétés écrans. Leurs campagnes incluent des emails frauduleux, souvent accompagnés de menaces, visant des institutions gouvernementales en Ukraine, Pologne, France, et au-delà. En novembre 2024, une campagne de phishing a menacé le président français Emmanuel Macron, coïncidant avec sa visite en Pologne. Cette hybridation entre cybercriminalité et espionnage soulève des questions sur la capacité des États européens à répondre à ces menaces, qui exploitent l'anonymat juridique et le flou réglementaire. Les défis posés par ces groupes, capables de s'adapter rapidement, mettent en lumière la vulnérabilité des infrastructures numériques européennes.
Sources :
Oracle Health Breach compromet les données des patients dans les hôpitaux américains
Une violation de données chez Oracle Health a compromis les informations de patients dans plusieurs hôpitaux américains. Bien qu'Oracle Health, anciennement Cerner, n'ait pas encore rendu l'incident public, des communications privées ont confirmé le vol de données. La société, spécialisée dans les dossiers de santé électroniques, a été acquise par Oracle en 2022 et a migré ses systèmes vers le cloud d'Oracle. Le 20 février 2025, Oracle Health a informé ses clients d'une intrusion sur des serveurs de données hérités de Cerner. Un acteur malveillant a utilisé des identifiants compromis pour accéder aux serveurs et a copié des données vers un serveur distant, incluant potentiellement des informations de santé. Oracle Health a précisé qu'il n'informerait pas directement les patients, laissant cette responsabilité aux hôpitaux. La transparence d'Oracle a été critiquée, car les communications étaient peu claires et manquaient de documentation officielle. Bien qu'Oracle ait proposé des services de surveillance de crédit, il ne s'est pas engagé à envoyer les notifications aux patients. Cette situation survient après des allégations de violation des serveurs de connexion d'Oracle Cloud, où des données d'authentification de millions d'utilisateurs auraient été volées.
Sources :
Les chercheurs découvrent 46 défauts critiques dans les onduleurs solaires de Sungrow, Growatt et SMA
Des chercheurs en cybersécurité ont révélé 46 nouvelles vulnérabilités dans des produits de trois fournisseurs d'onduleurs solaires, Sungrow, Growatt et SMA, pouvant être exploitées par des acteurs malveillants pour prendre le contrôle des dispositifs ou exécuter du code à distance, menaçant ainsi les réseaux électriques. Ces vulnérabilités, regroupées sous le nom de code SUN:DOWN par Forescout Vedere Labs, permettent d'exécuter des commandes arbitraires, de prendre le contrôle des comptes et des dispositifs des utilisateurs. Parmi les failles notables, on trouve la possibilité pour des attaquants non authentifiés d'exploiter des API exposées pour obtenir des informations sensibles, de prendre le contrôle des comptes, et de configurer à distance des chargeurs de véhicules électriques. De plus, l'application Android de Sungrow présente des failles de sécurité, notamment un chiffrement AES vulnérable et l'ignorance des erreurs de certificat. Forescout avertit qu'un attaquant pourrait contrôler une flotte d'onduleurs, provoquant des instabilités sur le réseau électrique et des pannes potentielles. Les fournisseurs ont corrigé les problèmes identifiés, mais des recommandations pour renforcer la sécurité des équipements solaires ont été émises. Parallèlement, d'autres vulnérabilités ont été découvertes dans des caméras de surveillance et des dispositifs industriels, soulignant l'importance de la sécurité dans les technologies opérationnelles.
Sources :
Coodeloader utilise un packer d'armure à base de gpu pour échapper à la détection d'EDR et d'antivirus
Des chercheurs en cybersécurité ont mis en lumière un nouveau malware sophistiqué nommé CoffeeLoader, conçu pour télécharger et exécuter des charges utiles secondaires. Selon Zscaler ThreatLabz, CoffeeLoader présente des similitudes comportementales avec un autre chargeur de malware connu, SmokeLoader. Son objectif principal est d'échapper à la détection des produits de sécurité basés sur les points de terminaison en utilisant diverses techniques, telles qu'un packer spécialisé exploitant le GPU, le spoofing de la pile d'appels, l'obfuscation de sommeil et l'utilisation de fibres Windows. Originaire de septembre 2024, CoffeeLoader utilise un algorithme de génération de domaine (DGA) comme mécanisme de secours si les canaux de commande et de contrôle (C2) principaux deviennent inaccessibles. Le malware commence par un dropper qui exécute un fichier DLL avec des privilèges élevés tout en contournant le contrôle de compte utilisateur (UAC). Il établit également une persistance sur l'hôte via une tâche planifiée. CoffeeLoader vise à contacter un serveur C2 via HTTPS pour obtenir le malware de prochaine étape, y compris des commandes pour injecter et exécuter du shellcode Rhadamanthys. Zscaler a noté des similitudes entre CoffeeLoader et SmokeLoader, suggérant qu'il pourrait représenter une nouvelle itération de ce dernier.
Sources :
Microsoft résout les problèmes de bureau à distance causés par les mises à jour Windows
Microsoft a résolu un problème connu affectant les connexions Remote Desktop et RDS suite à l'installation de mises à jour Windows depuis janvier 2025. Les utilisateurs concernés subissaient des déconnexions RDP après 65 secondes lors de l'établissement de connexions UDP depuis Windows 11 24H2 vers des hôtes RDS sur des systèmes Windows Server 2016 ou antérieurs. Bien que les appareils Windows Server 2025 ne soient pas directement touchés en tant qu'hôtes RDS, ils pouvaient provoquer des déconnexions inattendues en tant que clients RDP. Microsoft a reconnu l'augmentation des rapports sur ce problème après la mise à jour de sécurité de mars 2025. La solution a été fournie avec la mise à jour préliminaire KB5053656, recommandée pour les utilisateurs de Windows 11 24H2 et Windows Server 2025. Cette correction sera disponible dans les mises à jour cumulatives du mois prochain. Par ailleurs, Microsoft a signalé d'autres problèmes, notamment des gels de Remote Desktop sur Windows Server 2025 et des erreurs de connexion sur Windows 11 24H2 lors de la restauration de données. Malgré ces défis, certains utilisateurs envisagent de passer à Linux Mint en raison de la stabilité perçue de ce système par rapport à Windows 11.
Sources :
Elastic Security Labs découvre un nouveau malware dérobant des données depuis GitHub
Elastic Security Labs a découvert une nouvelle famille de malwares nommée SHELBY, qui cible les informations sur GitHub. Composée de deux composants, SHELBYLOADER et SHELBC2, cette menace a été diffusée par le biais d'une campagne de phishing visant une entreprise de télécommunications en Irak. Les malwares utilisent des techniques d’obscurcissement et de détection en bac à sable pour éviter d'être repérés. SHELBY est encore en développement, selon les chercheurs.
Les malwares se distinguent par leur utilisation des commits GitHub, imitant des activités légitimes d'outils tiers, ce qui complique leur détection. Ils exploitent également des tokens d’accès personnels (PAT) pour accéder à des dépôts privés, permettant ainsi des actions sans recourir à la chaîne Git standard. Cela signifie que toute personne possédant le malware et le token d'un dépôt peut compromettre la machine de la victime. Les utilisateurs doivent faire preuve de prudence lorsqu'ils manipulent ces malwares ou téléchargent des échantillons sur des plateformes comme VirusTotal. SHELBY est motivé par des intérêts d'espionnage, notamment en Syrie, et tire son nom de comptes GitHub malveillants, désormais fermés, en référence à la série Peaky Blinders.
Sources :
Procédure pas à pas du produit: comment Datto BCDR offre une continuité d'activité imparable
Le rapport "State of BCDR 2025", basé sur une enquête auprès de plus de 3 000 professionnels de l'informatique, révèle que plus de la moitié des organisations envisagent de changer leurs solutions de sauvegarde dans l'année à venir. Cette tendance souligne l'importance de regrouper les besoins de sauvegarde et de reprise après sinistre (DR) sous un même fournisseur fiable, permettant ainsi de réduire significativement les coûts. Les appareils Datto sont conçus pour une protection des données rapide et flexible, garantissant une récupération rapide sur site et une réplication horaire automatisée vers le Datto Cloud. Grâce à la technologie Inverse Chain™, chaque sauvegarde est stockée comme un point de récupération indépendant, facilitant les restaurations. Datto offre également des fonctionnalités avancées de vérification et de test DR, automatisant les processus souvent négligés par manque de temps. En cas de sinistre, les entreprises peuvent basculer vers l'appareil Datto pour continuer leurs opérations sans interruption. La sécurité de niveau entreprise est assurée par un chiffrement AES-256 et une authentification à deux facteurs. En somme, Datto BCDR garantit une continuité des activités, protégeant les entreprises contre les pertes de données et les interruptions coûteuses.
Sources :
Cyberattaque chez Autosur : quelles informations clients ont été exposées ?
Autosur, une enseigne de contrôle technique, a subi une cyberattaque révélée fin mars 2025, affectant potentiellement plus de 10 millions de clients. Les utilisateurs ont reçu des notifications concernant une fuite de données personnelles, incluant nom, prénom, adresses email et postale, numéro de téléphone et numéro de plaque d’immatriculation, tandis que les données bancaires sont restées intactes. Depuis le 16 mars, ces informations étaient mises en vente sur un forum de hackers, où un échantillon de données a été partagé. Les cybercriminels pourraient utiliser ces informations pour des campagnes de phishing, en usurpant l'identité de marques automobiles ou d'autres entreprises locales. Les numéros de plaques d’immatriculation, souvent difficiles à obtenir, pourraient rendre les arnaques plus crédibles. Autosur a conseillé aux clients de signaler toute tentative d'escroquerie via le service public 17Cyber et a rappelé qu'elle ne demande jamais d'informations personnelles par email, SMS ou téléphone. Cette situation souligne l'importance de la vigilance face aux menaces numériques et la nécessité de protéger ses données personnelles.
Sources :
Campagne de logiciels malveillants de Pjobrat ciblé les utilisateurs taïwanais via de fausses applications de chat
Une famille de malware Android, PJobRAT, précédemment observée ciblant des militaires indiens, est désormais liée à une nouvelle campagne visant des utilisateurs à Taïwan sous le prétexte d'applications de chat. Selon Pankaj Kohli, chercheur en sécurité chez Sophos, PJobRAT peut voler des SMS, des contacts, des informations sur l'appareil et des fichiers multimédias. Documenté pour la première fois en 2021, ce malware a été utilisé contre des cibles militaires indiennes et a évolué pour se faire passer pour des applications de rencontre et de messagerie instantanée. En novembre 2021, Meta a attribué l'utilisation de PJobRAT à un acteur de menace aligné sur le Pakistan, ciblant des personnes en Afghanistan. La dernière campagne, active depuis janvier 2023, a utilisé des applications malveillantes nommées SangaalLite et CChat, disponibles sur plusieurs sites WordPress. Bien que le nombre d'infections ait été relativement faible, cela indique une activité ciblée. Les applications demandent des autorisations intrusives et intègrent une fonctionnalité de chat. La version actuelle de PJobRAT permet également d'exécuter des commandes shell, offrant un contrôle accru sur les téléphones infectés. Kohli souligne que les acteurs de menace adaptent souvent leurs méthodes après une campagne.
Sources :
23andMe : la fin troublante d’un géant de l’ADN
La startup 23andMe, pionnière de l'analyse ADN, ferme ses portes dans un contexte de controverse lié à un piratage, à la gestion des données sensibles et à des secrets industriels. Fondée pour offrir des analyses génétiques accessibles, elle a rapidement attiré 15 millions d'utilisateurs, mais sa réputation a été ternie par des conditions d'utilisation floues permettant l'exploitation des données personnelles. La confiance du public s'est effondrée, entraînant une vague de plaintes et le retrait des investisseurs. Actuellement, les actifs de la société, y compris sa base de données génétiques, sont en vente, avec une audience judiciaire prévue pour déterminer leur avenir. Cette liquidation soulève des questions sur le droit à la confidentialité, d'autant plus que de nombreux clients avaient demandé la suppression de leurs données après le piratage. Ce dernier, survenu en octobre 2023, a été aggravé par une lenteur dans l'alerte aux clients, sapant davantage la confiance. La fondatrice Anne Wojcicki, autrefois au premier plan, est désormais discrète. La faillite de 23andMe met en lumière les vulnérabilités d'un modèle économique basé sur la commercialisation du génome humain et le défi du droit à l'oubli numérique.
Sources :
Les packages NPM de neuf ans détournés pour exfiltrer les clés d'API via des scripts obscurcis
Des chercheurs en cybersécurité ont découvert plusieurs paquets de cryptomonnaie sur le registre npm qui ont été détournés pour siphonner des informations sensibles, telles que des variables d'environnement, depuis des systèmes compromis. Certains de ces paquets, qui existent depuis plus de neuf ans, offraient des fonctionnalités légitimes aux développeurs de blockchain, mais leurs dernières versions contenaient des scripts obfusqués. Parmi les paquets affectés figurent country-currency-map, bnb-javascript-sdk-nobroadcast, et d'autres. L'analyse a révélé que ces paquets étaient infectés par du code obfusqué dans deux scripts, conçus pour collecter des données sensibles comme des clés API et des jetons d'accès, puis les exfiltrer vers un serveur distant. Les dépôts GitHub associés n'ont pas été modifiés, soulevant des questions sur la manière dont le code malveillant a été intégré. Les chercheurs soupçonnent que des comptes de mainteneurs npm anciens ont été compromis, probablement par du credential stuffing ou une prise de contrôle de domaine expiré. Cette situation souligne l'importance de sécuriser les comptes avec une authentification à deux facteurs et d'améliorer la sécurité de la chaîne d'approvisionnement pour protéger les projets open-source.
Sources :
Mozilla Patches Critical Firefox Bug similaire à la récente vulnérabilité de Chrome Zero-Day
Mozilla a publié des mises à jour pour corriger une faille de sécurité critique affectant son navigateur Firefox sur Windows, quelques jours après que Google ait corrigé une faille similaire dans Chrome, exploitée activement en tant que zero-day. La vulnérabilité, identifiée comme CVE-2025-2857, concerne un problème de gestion incorrecte pouvant entraîner une échappée du bac à sable. Mozilla a expliqué que, suite à l'évasion de bac à sable récente dans Chrome (CVE-2025-2783), des développeurs de Firefox ont identifié un schéma similaire dans leur code de communication inter-processus (IPC). Un processus enfant compromis pourrait permettre au processus parent de retourner un handle trop puissant, entraînant une échappée. Cette faille affecte Firefox et Firefox ESR, et a été corrigée dans les versions 136.0.4, 115.21.1 et 128.8.1. Bien qu'aucune exploitation de CVE-2025-2857 n'ait été observée, le projet Tor a également publié une mise à jour pour son navigateur. Parallèlement, Google a mis à jour Chrome pour corriger CVE-2025-2783, qui a été exploité dans des attaques ciblant des médias et des institutions en Russie. Les utilisateurs sont conseillés de mettre à jour leurs navigateurs pour se protéger contre ces risques.
Sources :
Le domaine Web Microsoft détourné injecte le spam dans les serveurs SharePoint
Le 27 mars 2025, le domaine classique de Microsoft Stream, microsoftstream.com, a été détourné pour afficher un faux site Amazon promouvant un casino en ligne thaïlandais, entraînant l'injection de spam sur les serveurs SharePoint contenant des vidéos intégrées. Microsoft Stream est un service de streaming vidéo pour les entreprises, intégré dans les applications Microsoft 365 comme Teams et SharePoint. En septembre 2020, Microsoft avait annoncé la dépréciation de ce service classique, demandant aux utilisateurs de migrer leurs vidéos vers la nouvelle plateforme avant avril 2024. Le détournement du domaine a été confirmé par des modifications dans les enregistrements WHOIS, mais les détails sur la méthode de détournement restent flous. Des administrateurs SharePoint ont signalé que leurs sites affichaient des pages de spam au lieu des vidéos intégrées, suscitant des inquiétudes parmi les utilisateurs. Microsoft a rapidement pris des mesures pour bloquer l'accès au domaine détourné et a assuré qu'aucune campagne malveillante plus grave, comme la distribution de logiciels malveillants, n'avait été lancée. L'incident souligne les risques liés aux domaines obsolètes et la nécessité de vigilance dans la gestion des ressources numériques.
Sources :
La campagne InfostEaler compromet 10 packages NPM, cible les développeurs
Une campagne malveillante a compromis dix packages npm, ciblant principalement des outils liés aux cryptomonnaies. Ces packages ont été mis à jour avec un code malveillant destiné à voler des variables d'environnement et d'autres données sensibles des systèmes des développeurs. Le code malveillant, découvert par le chercheur Ali ElShakankiry de Sonatype, se trouve dans deux scripts obfusqués qui s'exécutent lors de l'installation des packages. Il envoie les données volées à un hôte distant. Les variables d'environnement, souvent ciblées, peuvent contenir des clés API et des identifiants de base de données, facilitant ainsi d'autres attaques. Sonatype suspecte que la compromission des comptes des mainteneurs npm soit due à des attaques par "credential stuffing" ou à la prise de contrôle de domaines expirés. La plupart des packages compromis n'avaient pas été mis à jour depuis des années, ce qui suggère que leurs mainteneurs ne sont plus actifs. Bien que npm ait rendu l'authentification à deux facteurs obligatoire pour les projets populaires, certains de ces packages plus anciens n'ont pas bénéficié de cette sécurité. Le package 'country-currency-map' a été déprécié, et les développeurs sont invités à utiliser une version antérieure sécurisée.
Sources :
Les pirates chinois de FamousSarrow déploient des logiciels malveillants améliorés lors d'attaques
Un groupe de cyberespionnage chinois, connu sous le nom de 'FamousSparrow', a été observé utilisant une version améliorée de son logiciel malveillant 'SparrowDoor' lors d'attaques contre une organisation commerciale basée aux États-Unis. Des chercheurs en sécurité d'ESET ont noté une activité accrue de ce groupe depuis ses dernières opérations révélées en 2022, ciblant également un institut de recherche mexicain et une institution gouvernementale au Honduras. L'accès initial a été obtenu par l'exploitation de points d'accès Microsoft Exchange et Windows Server obsolètes. ESET a identifié deux nouvelles versions de SparrowDoor, offrant une meilleure qualité de code et des mécanismes de persistance. La fonctionnalité clé est l'exécution parallèle des commandes, permettant au logiciel de traiter plusieurs tâches simultanément. La version la plus récente est modulaire, capable de recevoir des plugins en temps réel, élargissant ainsi ses capacités opérationnelles. De plus, FamousSparrow utilise ShadowPad, un cheval de Troie d'accès à distance, indiquant un accès à des outils cybernétiques avancés. ESET classe FamousSparrow avec d'autres groupes sous le nom de Salt Typhoon, bien qu'ils soient suivis comme des entités distinctes en raison de similitudes de code et de techniques d'exploitation.
Sources :
Mise à jour Windows 11 KB5053656 publiée avec 38 modifications et correctifs
Microsoft a publié la mise à jour cumulative préliminaire KB5053656 pour Windows 11 24H2, comprenant 38 modifications et corrections. Cette mise à jour, qui fait partie des "mises à jour préliminaires non sécuritaires", permet aux administrateurs de tester des correctifs et des améliorations avant le Patch Tuesday du mois suivant. Parmi les nouveautés, on trouve la traduction en temps réel et les sous-titres en direct sur les PC Copilot+ équipés de processeurs AMD et Intel, prenant en charge plus de 44 langues. La mise à jour corrige également des problèmes d'authentification et un bug qui provoquait un écran bleu lors de la reprise après une veille. Pour l'installer, il suffit d'accéder aux paramètres de Windows Update. La mise à jour KB5053656 porte la version de Windows 11 à 26100.3624 et améliore la recherche de documents et de paramètres. Elle supprime également la fonctionnalité d'historique de localisation, ce qui signifie que les données de localisation ne seront plus enregistrées localement. Microsoft a identifié deux problèmes connus liés à cette mise à jour, affectant certains composants Citrix et les joueurs de Roblox sur les appareils Windows Arm.
Sources :
Microsoft: la nouvelle tâche planifiée Windows lancera les applications Office plus rapidement
Microsoft prévoit de déployer en mai 2025 une nouvelle tâche planifiée dans Windows, nommée "Startup Boost", visant à accélérer le chargement des applications Microsoft Office. Cette tâche s'exécutera automatiquement en arrière-plan lors de la connexion de l'utilisateur, avec un déploiement mondial prévu d'ici fin mai. Sur les systèmes compatibles, les utilisateurs verront apparaître les tâches "Office Startup Boost" dans le Planificateur de tâches de Windows, permettant un préchargement des améliorations de performance. Microsoft précise que cette fonctionnalité ne sera active que sur les systèmes disposant d'au moins 8 Go de RAM et de 5 Go d'espace disque libre, afin de ne pas nuire aux performances globales du système. De plus, la tâche sera désactivée automatiquement en mode Économie d'énergie. Bien que cette option soit facultative, les utilisateurs peuvent la désactiver dans les paramètres de l'application Office, mais elle sera réactivée à chaque mise à jour d'Office. Microsoft a également commencé à tester des versions de ses applications de bureau Office soutenues par la publicité, offrant des fonctionnalités limitées tout en permettant l'édition de documents. Les administrateurs informatiques pourront désactiver cette fonctionnalité via la stratégie de groupe.
Sources :
New Morphing Meerkat Phishing Kit imite 114 marques utilisant les dossiers de messagerie DNS des victimes
Des chercheurs en cybersécurité ont découvert une nouvelle plateforme de phishing-as-a-service (PhaaS) exploitant les enregistrements DNS MX pour créer de fausses pages de connexion imitant environ 114 marques. L'entreprise Infoblox suit l'acteur derrière cette plateforme, connu sous le nom de Morphing Meerkat. Ce dernier utilise souvent des redirections ouvertes sur des infrastructures publicitaires, compromet des domaines pour distribuer des phishing et utilise des mécanismes variés, comme Telegram, pour diffuser des identifiants volés. Une campagne documentée par Forcepoint en juillet 2024 a montré que des emails de phishing contenaient des liens vers de faux documents partagés, redirigeant les victimes vers des pages de connexion hébergées sur Cloudflare R2. Morphing Meerkat aurait envoyé des milliers d'emails de spam, utilisant des sites WordPress compromis et des vulnérabilités sur des plateformes publicitaires pour contourner les filtres de sécurité. La plateforme est capable de traduire dynamiquement le contenu de phishing en plusieurs langues, ciblant ainsi des utilisateurs à l'échelle mondiale. De plus, elle utilise des enregistrements MX pour identifier le fournisseur de services email de la victime, rendant les attaques plus ciblées et convaincantes.
Sources :
Les 4 pirates de défauts WordPress ont ciblé le plus au premier trimestre 2025
Un rapport récent met en lumière les vulnérabilités des plugins WordPress les plus ciblées par les hackers au premier trimestre 2025. Quatre failles critiques, découvertes et corrigées en 2024, restent non patchées sur de nombreux sites, permettant aux attaquants d'exécuter du code arbitraire ou d'exfiltrer des données sensibles. Parmi ces failles, deux sont signalées comme étant exploitées activement pour la première fois. La première, CVE-2024-27956, concerne une injection SQL dans le plugin WordPress Automatic, touchant plus de 40 000 installations. La seconde, CVE-2024-4345, affecte le plugin Startklar Elementor Addons, permettant un téléchargement de fichiers non authentifié. La troisième, CVE-2024-8353, concerne le plugin GiveWP, vulnérable à l'injection d'objets PHP. Bien que de nombreuses tentatives d'exploitation soient bloquées, le risque demeure élevé pour les sites non protégés. Les administrateurs de sites sont donc encouragés à appliquer les mises à jour de sécurité disponibles et à désactiver les plugins inutilisés. Le rapport souligne l'importance d'une vigilance continue face aux menaces croissantes dans l'écosystème WordPress.
