Le package NPM malveillant modifie la bibliothèque «Ethers» pour des attaques de shell inverse - Actus du 26/03/2025
Découvrez comment Microsoft surmonte les défis d'impression des mises à jour Windows, tandis que RedCurl et Encrypthub exploitent des vulnérabilités pour déployer des ransomwares et malwares. Protégez vos systèmes Hyper-V des nouvelles menaces numériques.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft résout les problèmes d'impression causés par les mises à jour Windows de janvier
Microsoft a résolu un problème connu affectant certains imprimantes USB, qui imprimaient du texte aléatoire après l'installation des mises à jour de Windows depuis fin janvier 2025. Ce bug a été corrigé dans les mises à jour préliminaires de mars 2025, KB5053643 et KB5053657, pour Windows 10 (version 22H2) et Windows 11 (versions 22H2 et 23H2). La correction sera également déployée pour les utilisateurs n'installant pas ces mises à jour optionnelles, lors des mises à jour cumulatives d'avril 2025. Microsoft recommande d'installer la dernière mise à jour, qui contient des améliorations importantes et des résolutions de problèmes. Plus tôt ce mois-ci, l'entreprise a également résolu ce problème sur les appareils d'entreprise via la fonctionnalité Known Issue Rollback (KIR). Les utilisateurs affectés ont signalé des impressions erronées commençant par l'en-tête "POST /ipp/print HTTP/1.1", souvent lors de la reconnexion des imprimantes. Ce problème a été reconnu après la mise à jour préliminaire de janvier 2025 (KB5050092). En outre, Microsoft a corrigé d'autres problèmes liés aux connexions Remote Desktop et RDS, et collabore avec Veeam pour résoudre des erreurs de connexion sur Windows 11 24H2.
Sources :
Les cyberespaces redcurl créent des ransomwares pour chiffrer les serveurs Hyper-V
Le groupe de cyberspies RedCurl, actif depuis 2018 et connu pour ses opérations d'espionnage, a récemment commencé à déployer un ransomware ciblant spécifiquement les serveurs Hyper-V. Selon un rapport de Bitdefender, RedCurl a modifié sa stratégie habituelle d'exfiltration de données pour inclure des attaques par ransomware, marquant ainsi une première dans ses opérations. Le ransomware, nommé QWCrypt, utilise des fichiers IMG déguisés en CV pour infiltrer les réseaux via des emails de phishing. Une fois activé, QWCrypt exploite des vulnérabilités pour se propager latéralement et désactiver les défenses avant de chiffrer les machines virtuelles Hyper-V. Il offre des options de personnalisation pour cibler les machines virtuelles, tout en évitant celles qui servent de passerelles réseau. Les chercheurs notent que le ransomware utilise l'algorithme de chiffrement XChaCha20-Poly1305 et génère des notes de rançon inspirées d'autres groupes. Les motivations derrière cette évolution restent floues, avec deux hypothèses principales : RedCurl pourrait agir comme un groupe mercenaire ou utiliser le ransomware comme une distraction pour masquer des vols de données. Cette évolution soulève des questions sur les objectifs opérationnels de RedCurl.
Sources :
Encrypthub exploite Windows Zero-Day pour déployer Rhadamanthys et Stealc malware
Le groupe de cybercriminalité connu sous le nom d'EncryptHub a exploité une vulnérabilité récemment corrigée dans Microsoft Windows, identifiée comme CVE-2025-26633, pour déployer divers types de malwares, y compris des portes dérobées et des voleurs d'informations tels que Rhadamanthys et StealC. Cette vulnérabilité, notée 7.0 sur l'échelle CVSS, permet à un attaquant de contourner une fonctionnalité de sécurité locale via la console de gestion Microsoft (MMC). L'attaque utilise des fichiers .msc et le chemin d'interface utilisateur multilingue (MUIPath) pour télécharger et exécuter des charges utiles malveillantes, tout en maintenant une persistance et en volant des données sensibles. Trend Micro a nommé cet exploit MSC EvilTwin et a associé l'activité suspecte à un groupe russe appelé Water Gamayun. EncryptHub a également été observé utilisant d'autres méthodes pour exécuter des charges utiles malveillantes, notamment en téléchargeant des fichiers .msc via des commandes shell. Les victimes sont souvent trompées en téléchargeant des fichiers MSI signés numériquement, se faisant passer pour des logiciels légitimes. Cette campagne est en développement actif, utilisant plusieurs méthodes de livraison et des charges utiles personnalisées pour exfiltrer des données vers les serveurs de commande et de contrôle des attaquants.
Sources :
Redcurl passe de l'espionnage à des ransomwares avec un premier déploiement QWCrypt
Le groupe de hackers russophones RedCurl, également connu sous les noms Earth Kapre et Red Wolf, a été lié pour la première fois à une campagne de ransomware, marquant un changement dans ses méthodes. Observée par la société de cybersécurité roumaine Bitdefender, cette activité implique un nouveau ransomware appelé QWCrypt. RedCurl, actif depuis au moins novembre 2018, a principalement mené des attaques d'espionnage ciblant des entités au Canada, en Allemagne, en Norvège, en Russie, en Slovénie, en Ukraine, au Royaume-Uni et aux États-Unis. Les chaînes d'attaque précédemment documentées incluaient des emails de phishing utilisant des leurres liés aux ressources humaines. Récemment, des attaques ont été signalées au Canada, utilisant des pièces jointes PDF déguisées en CV pour déployer un malware appelé RedLoader. Le processus d'infection, décrit par Bitdefender, utilise des fichiers image disques (ISO) pour masquer le malware. Une fois exécuté, le malware détourne le navigateur de la victime vers une page de connexion Indeed, distrayant l'utilisateur. Ce changement de stratégie, incluant le déploiement de ransomware, vise à causer un maximum de dommages avec un minimum d'effort, en rendant les machines virtuelles inaccessibles. Les motivations de RedCurl restent floues, notamment en l'absence de site de fuite dédié.
Sources :
Microsoft: les mises à jour Windows récentes provoquent des problèmes de bureau à distance
Microsoft a signalé que certains utilisateurs rencontrent des problèmes de connexion avec Remote Desktop et Remote Desktop Services (RDS) après avoir installé des mises à jour récentes de Windows, notamment celles de janvier 2025. Selon l'entreprise, des déconnexions inattendues des sessions RDP ont été observées, en particulier après la mise à jour de sécurité de mars 2025 (KB5053598). Les utilisateurs affectés peuvent subir des déconnexions après 65 secondes lors de l'établissement de connexions UDP depuis des PC Windows 11 24H2 vers des hôtes RDS sur des systèmes Windows Server 2016 ou antérieurs. Bien que les systèmes Windows Server 2025 ne soient pas directement touchés en tant qu'hôtes RDS, des déconnexions peuvent survenir lors de connexions en tant que clients RDP. Microsoft a résolu ces problèmes via un Known Issue Rollback (KIR), permettant de revenir sur les mises à jour défectueuses. Les administrateurs doivent installer et configurer la politique de groupe KIR pour résoudre le problème sur les appareils gérés. Une solution permanente sera déployée automatiquement dans une future mise à jour de Windows, éliminant ainsi le besoin de configuration manuelle. Des conseils supplémentaires sont disponibles sur le site de support de Microsoft.
Sources :
New NPM Attack poisons Packages locaux avec des déambulations
Deux paquets malveillants ont été découverts sur npm (Node package manager), capables de modifier des paquets légitimes installés localement pour y injecter un backdoor persistant sous forme de reverse shell. Même si les victimes désinstallent ces paquets, le backdoor demeure sur leur système. Cette nouvelle tactique a été identifiée par des chercheurs de Reversing Labs, qui soulignent le risque associé, bien que les paquets n'aient pas été largement téléchargés. Les paquets en question, 'ethers-provider2' et 'ethers-providerz', utilisent des stratégies sophistiquées pour dissimuler leur charge malveillante. Le premier, encore disponible sur npm, modifie le script 'install.js' d'un paquet populaire pour télécharger un second payload qui, une fois exécuté, remplace un fichier légitime par une version trojanisée. Ce fichier infecté récupère un troisième payload permettant d'établir un reverse shell. Le second paquet cible un autre package similaire avec des objectifs identiques. Reversing Labs a également identifié d'autres paquets liés à cette campagne. Les développeurs sont conseillés de vérifier la légitimité des paquets et d'examiner leur code pour détecter des signes de risque.
Sources :
- https://www.bleepingcomputer.com/news/security/new-npm-attack-poisons-local-packages-with-backdoors/
Le package NPM malveillant modifie la bibliothèque «Ethers» locale pour lancer des attaques de shell inverse
Des chercheurs en cybersécurité ont découvert deux paquets malveillants sur le registre npm, ethers-provider2 et ethers-providerz, conçus pour infecter d'autres paquets installés localement. Le premier a été téléchargé 73 fois depuis sa publication le 15 mars 2025, tandis que le second n'a pas attiré de téléchargements et a probablement été retiré par son auteur. Selon Lucija Valentić de ReversingLabs, ces paquets agissent comme des téléchargeurs, cachant leur charge utile malveillante. Leur phase secondaire "patch" le paquet npm légitime ethers, en remplaçant un fichier par un code malveillant qui ouvre un shell inversé. Cela signifie que désinstaller les paquets malveillants ne supprime pas la fonctionnalité malveillante, car les modifications résident dans la bibliothèque populaire. Si un utilisateur désinstalle ethers tout en gardant ethers-provider2, il risque une réinfection lors de la réinstallation. L'analyse a révélé qu'ethers-provider2 est une version trojanisée du paquet ssh2, capable de télécharger et d'exécuter un malware supplémentaire. Le second paquet, ethers-providerz, tente également de modifier des fichiers d'un autre paquet npm. Ces découvertes soulignent la nécessité de vérifier soigneusement les paquets open-source avant de les utiliser.
Sources :
Sortage dans le cyber ring: Utilisation de Pentest automatisé pour renforcer la résilience
L'article compare la boxe à la cybersécurité, soulignant l'importance de l'entraînement régulier pour maintenir une défense efficace. Dans le ring, un boxeur doit s'adapter à différents styles d'adversaires, tout comme une organisation doit se préparer à divers types de menaces. Les tests de pénétration, bien que cruciaux, ne sont souvent réalisés qu'une ou deux fois par an, ce qui peut laisser des failles dans la sécurité. Le concept de "configuration drift" est introduit, illustrant comment des changements progressifs dans l'environnement informatique peuvent affaiblir la défense, tout comme un boxeur qui ne s'entraîne pas régulièrement perd son instinct. L'article souligne que se concentrer uniquement sur un type de menace peut exposer une organisation à d'autres vulnérabilités, comme des mots de passe compromis ou des intégrations API douteuses. Des exemples de boxeurs célèbres, tels que Muhammad Ali et Floyd Mayweather, montrent que la flexibilité et l'adaptabilité sont essentielles pour surmonter les faiblesses. Enfin, il est recommandé de combiner validation de sécurité automatisée et expertise humaine pour maintenir une posture défensive robuste face à des menaces en constante évolution.
Sources :
Comment PAM atténue les menaces d'initiés: prévenir les violations de données, les privilèges abusifs, et plus
Les menaces internes représentent un risque majeur pour la cybersécurité des organisations, car les employés négligents peuvent compromettre des systèmes sensibles en manipulant des identifiants ou en enfreignant des politiques de sécurité. Les conséquences incluent des pertes financières, des dommages à la réputation et des sanctions pour non-conformité aux réglementations comme le GDPR ou le NIS2. Des équipes comme DOGE ont eu accès à des codes système critiques, posant un danger pour des entités telles que le département du Trésor américain. Pour atténuer ces risques, il est essentiel d'adopter des pratiques de gestion des accès privilégiés (PAM), qui permettent de réduire la surface d'attaque et de contrôler les accès en fonction des rôles des utilisateurs. Les solutions PAM, intégrant la surveillance des activités des utilisateurs, aident à détecter les menaces internes en temps réel et à automatiser la gestion des droits d'accès, ce qui diminue les erreurs humaines. En outre, ces solutions facilitent la conformité réglementaire grâce à des journaux d'activités détaillés. En somme, une solution PAM robuste renforce la sécurité organisationnelle tout en améliorant l'efficacité opérationnelle et la conformité réglementaire. Pour découvrir comment Syteca peut répondre à vos besoins en cybersécurité, contactez-nous pour une démonstration.
Sources :
Pirates à l'aide de l'outil de crime électronique Atlantis AIO pour la farce des informations d'identification sur plus de 140 plates-formes
Des acteurs malveillants exploitent un outil de cybercriminalité appelé Atlantis AIO Multi-Checker pour automatiser les attaques par credential stuffing, selon une analyse d'Abnormal Security. Cet outil permet aux attaquants de tester rapidement des millions de données d'identification volées, facilitant ainsi l'accès non autorisé à des comptes utilisateurs sur divers systèmes. Les informations d'identification peuvent provenir de violations de données sur des réseaux sociaux ou être achetées sur des forums clandestins. Contrairement aux attaques par force brute, qui tentent de déchiffrer des mots de passe, le credential stuffing repose sur l'utilisation de listes de noms d'utilisateur et de mots de passe volés. Atlantis AIO offre des modules préconfigurés pour cibler plus de 140 plateformes, y compris des fournisseurs de services de messagerie, des services de streaming et des institutions financières. Les cybercriminels peuvent monétiser ces accès en vendant des informations sur le dark web ou en commettant des fraudes. Pour se protéger contre ces risques, il est conseillé d'appliquer des règles strictes de gestion des mots de passe et d'implémenter des mécanismes d'authentification multi-facteurs résistants au phishing.
Sources :
La mise à jour de Windows 11 casse la récupération Veeam, provoque des erreurs de connexion
Microsoft et Veeam enquêtent sur un problème connu affectant les systèmes Windows 11 24H2, qui entraîne des erreurs de connexion lors de la restauration à partir de Veeam Recovery Media. Ce problème touche les utilisateurs tentant de récupérer des données à partir de supports créés sur des appareils exécutant Windows 11 24H2 (build 26100.3194) ou supérieur. Bien que la cause exacte reste inconnue, Veeam suspecte que la mise à jour KB5051987 de février soit à l'origine de ces dysfonctionnements. Les utilisateurs rencontrent des échecs de connexion réseau lors de la restauration de fichiers depuis un serveur de sauvegarde Veeam ou un partage réseau SMB, avec des messages d'erreur indiquant des problèmes de connexion. En attendant une solution, Veeam recommande d'utiliser des médias de récupération générés à partir de versions antérieures de Windows 11 (build 26100.3037 ou inférieure). Veeam souligne que son Recovery Media, basé sur Microsoft Windows RE, ne peut pas être pré-généré en raison de composants propriétaires. Veeam est utilisé par plus de 550 000 clients dans le monde, y compris 82 % des entreprises du Fortune 500. Ce problème survient après qu'une autre mise à jour de Microsoft ait déjà causé des problèmes avec Outlook.
Sources :
Google fixe Chrome Zero-Day exploité dans la campagne d'espionnage
Google a corrigé une vulnérabilité zero-day de haute sévérité dans Chrome, exploitée pour échapper au sandbox du navigateur et déployer des logiciels malveillants dans des attaques d'espionnage ciblant des médias et des organisations éducatives russes. Identifiée sous le nom CVE-2025-2783, cette faille a été découverte par des chercheurs de Kaspersky, qui ont noté qu'elle permettait aux attaquants de contourner les protections de Chrome sans actions manifestement malveillantes. Google a déployé une mise à jour de sécurité pour les utilisateurs de la version Stable Desktop, avec des correctifs disponibles pour Windows. Bien que la mise à jour soit progressive, elle était accessible immédiatement lors de la vérification par BleepingComputer. Les détails sur les incidents d'exploitation restent limités, mais Kaspersky a signalé que les attaques redirigeaient les victimes vers un domaine spécifique dans le cadre d'une campagne d'espionnage nommée Operation ForumTroll. Les courriels malveillants contenaient des invitations à un forum scientifique, ciblant des institutions russes. CVE-2025-2783 est la première vulnérabilité zero-day corrigée en 2025, après que Google en ait corrigé dix l'année précédente.
Sources :
Alerte zéro-jour: Google publie un patch chromé pour l'exploit utilisé dans les attaques d'espionnage russes
Google a publié des correctifs d'urgence pour remédier à une vulnérabilité de haute gravité dans son navigateur Chrome sur Windows, exploitée dans des attaques ciblant des organisations en Russie. Cette faille, identifiée comme CVE-2025-2783, résulte d'une "manipulation incorrecte dans des circonstances non spécifiées dans Mojo sur Windows", Mojo étant un ensemble de bibliothèques pour la communication inter-processus. Google n'a pas divulgué de détails techniques sur les attaques ni sur les acteurs impliqués. La vulnérabilité a été corrigée dans la version 134.0.6998.177/.178 de Chrome. Selon Google, un exploit pour CVE-2025-2783 est déjà actif. Découverte par des chercheurs de Kaspersky, cette faille est la première zero-day exploitée dans Chrome cette année. Kaspersky a qualifié cette exploitation de techniquement sophistiquée, la reliant à une menace persistante avancée (APT) nommée Operation ForumTroll. Les attaques se sont produites après que les victimes ont cliqué sur des liens dans des courriels de phishing, ciblant des médias, des institutions éducatives et des organismes gouvernementaux en Russie. Les courriels contenaient des invitations à un forum scientifique légitime. Les utilisateurs de navigateurs basés sur Chromium, comme Microsoft Edge et Brave, sont également conseillés d'appliquer les correctifs dès qu'ils sont disponibles.
Sources :
Nouveaux défauts de sécurité trouvés dans VMware Tools et Crushftp - Risque élevé, pas de solution de contournement
Broadcom a publié des correctifs de sécurité pour une vulnérabilité critique dans VMware Tools pour Windows, susceptible de permettre un contournement d'authentification. Suivie sous le code CVE-2025-22230, cette faille est notée 7,8 sur l'échelle CVSS. Selon Broadcom, "VMware Tools pour Windows contient une vulnérabilité de contournement d'authentification due à un contrôle d'accès inapproprié". Un acteur malveillant disposant de privilèges non administratifs sur une machine virtuelle Windows pourrait réaliser certaines opérations à privilèges élevés. La vulnérabilité affecte les versions 11.x.x et 12.x.x de VMware Tools pour Windows et a été corrigée dans la version 12.5.1, sans solution de contournement disponible. Parallèlement, CrushFTP a averti ses clients d'une vulnérabilité d'accès HTTP(S) non authentifié touchant les versions 10 et 11, qui n'a pas encore reçu d'identifiant CVE. Bien que cette faille ne soit pas activement exploitée, elle pourrait permettre un accès non authentifié via un port HTTP(S) exposé. Étant donné les précédents d'exploitation de ces vulnérabilités, il est crucial que les utilisateurs appliquent rapidement les mises à jour.
Sources :
Crushftp avertit les utilisateurs de corriger immédiatement une défaut d'accès non authentifié immédiatement
CrushFTP a averti ses utilisateurs d'une vulnérabilité d'accès non authentifié sur le port HTTP(S) et a demandé une mise à jour immédiate de leurs serveurs. Dans un courriel envoyé aux clients, la société a précisé que cette faille permet aux attaquants d'accéder sans authentification aux serveurs non corrigés exposés sur Internet. La vulnérabilité, qui affecte toutes les versions de CrushFTP v11, a été corrigée le 21 mars 2025. Bien que l'email indique que seules les versions v11 sont concernées, un avis a révélé que les versions v10 et v11 sont également touchées. En attendant la mise à jour vers CrushFTP v11.3.1+, les utilisateurs peuvent activer la fonctionnalité DMZ pour protéger leur instance. Plus de 3 400 instances de CrushFTP sont exposées en ligne, selon Shodan. En avril 2024, une autre vulnérabilité critique (CVE-2024-4040) avait déjà été exploitée, ciblant des serveurs de plusieurs organisations américaines. Les produits de transfert de fichiers comme CrushFTP sont des cibles privilégiées pour les gangs de ransomware, notamment Clop, qui exploitent des vulnérabilités zero-day. Les utilisateurs sont donc fortement encouragés à appliquer les correctifs nécessaires.
Sources :
Cloudflare R2 Service Putage Causé par une erreur de rotation de mot de passe
Cloudflare a annoncé une panne de son service de stockage d'objets R2, qui a duré 1 heure et 7 minutes, entraînant des échecs d'écriture à 100 % et des échecs de lecture à 35 % à l'échelle mondiale. L'incident, survenu entre 21h38 UTC et 22h45 UTC, a été causé par une erreur de rotation des identifiants, où de nouvelles informations d'identification ont été déployées par erreur dans un environnement de développement au lieu de la production. Cela a laissé le service de production sans identifiants valides après la suppression des anciens. Cloudflare a expliqué que la nature du problème n'était pas immédiatement évidente, ce qui a retardé la découverte de l'incident. Bien qu'aucune perte de données client n'ait été signalée, plusieurs services ont subi des dégradations, notamment des échecs d'écriture et une baisse significative de la livraison d'images. Pour éviter de futurs incidents, Cloudflare a renforcé la journalisation des identifiants et mis en place des outils de déploiement automatisés. L'entreprise prévoit également d'améliorer ses procédures opérationnelles standard pour exiger une validation à double niveau lors d'actions à fort impact, suite à une autre panne similaire survenue en février.
Sources :
Broadcom met en garde contre le contournement de l'authentification dans les outils Windows VMware
Broadcom a publié des mises à jour de sécurité pour corriger une vulnérabilité d'authentification critique dans VMware Tools pour Windows, identifiée sous le code CVE-2025-22230. Cette vulnérabilité, causée par un défaut de contrôle d'accès, permet à des attaquants locaux avec des privilèges faibles d'exécuter des opérations à privilèges élevés sur des machines virtuelles vulnérables, sans nécessiter d'interaction utilisateur. VMware a averti que des acteurs malveillants pourraient ainsi contourner les restrictions de sécurité. Ce problème a été signalé par Sergey Bliznyuk de Positive Technologies, une entreprise de cybersécurité russe sous sanctions. En mars, Broadcom avait déjà corrigé trois vulnérabilités zero-day dans VMware, qui étaient exploitées dans des attaques. De plus, une analyse a révélé plus de 37 000 instances de VMware ESXi exposées à des attaques liées à l'une de ces vulnérabilités. Les produits VMware, largement utilisés dans les entreprises pour gérer des données sensibles, sont souvent ciblés par des groupes de ransomware et des hackers soutenus par des États. Broadcom a également signalé des exploits de vulnérabilités dans vCenter Server, soulignant l'importance de la vigilance en matière de sécurité pour les utilisateurs de ces technologies.
Sources :
Nouvelles hachages NTLM Zero-Day Windows, obtient un patch non officiel
Une nouvelle vulnérabilité zero-day de Windows permet aux attaquants de voler des identifiants NTLM en incitant les utilisateurs à ouvrir des fichiers malveillants dans l'Explorateur Windows. Cette faille, découverte par ACROS Security, affecte toutes les versions de Windows, de Windows 7 à Windows 11, ainsi que les serveurs jusqu'à Server 2025. Les attaquants peuvent exploiter cette vulnérabilité pour réaliser des attaques par relais NTLM et des attaques par pass-the-hash, leur permettant d'accéder à des données sensibles et de se déplacer latéralement sur le réseau. Bien que cette vulnérabilité ne soit pas considérée comme critique, son exploitation dépend de divers facteurs, comme la présence de l'attaquant sur le réseau de la victime. ACROS Security propose des micropatches gratuits via son service 0Patch pour protéger les utilisateurs jusqu'à ce que Microsoft publie un correctif officiel. Microsoft a reconnu le problème et a indiqué qu'elle prendrait des mesures pour protéger ses clients. Cette vulnérabilité s'ajoute à d'autres failles NTLM récemment signalées par 0Patch, dont certaines n'ont pas encore reçu de correctif officiel.
Sources :
Encrypthub lié aux attaques MMC zéro-jour sur les systèmes Windows
Un acteur malveillant nommé EncryptHub a été lié à des attaques zero-day sur des systèmes Windows, exploitant une vulnérabilité dans la Console de gestion Microsoft (CVE-2025-26633), récemment corrigée. Découverte par le chercheur Aliakbar Zahravi de Trend Micro, cette faille permet aux attaquants de contourner les protections de réputation des fichiers Windows et d'exécuter du code malveillant sans alerte pour l'utilisateur. Dans un scénario d'attaque par e-mail, un fichier MSC spécialement conçu peut être envoyé à la victime, tandis qu'une attaque web pourrait impliquer un site compromis hébergeant ce fichier. EncryptHub a utilisé cette vulnérabilité pour exécuter du code malveillant et exfiltrer des données de systèmes compromis, déployant divers payloads tels que des voleurs de données et des backdoors. Cette campagne, en cours de développement, utilise plusieurs méthodes de livraison et vise à maintenir la persistance tout en volant des données sensibles. EncryptHub est également associé à des attaques de ransomware, encryptant les fichiers des victimes après avoir volé des informations sensibles. Microsoft a également corrigé une autre vulnérabilité zero-day dans le sous-système Win32 ce mois-ci.
