Tag: ciberseguridad

La Corée du Nord utilise déjà Gemini pour pirater les ordinateurs de la moitié du monde

Un groupe de hackers nord-coréens connu sous le nom de UNC2970 a commencé à utiliser le modèle d’intelligence artificielle Gemini de Google pour mener des activités de reconnaissance et des cyberattaques. Ce comportement a été documenté dans un rapport du Google Threat Intelligence Group (GTIG), qui souligne un croisement préoccupant entre la recherche professionnelle et des activités malveillantes dans le domaine de la cybersécurité. L’IA, c’est bien, mec Selon des informations, UNC2970 s’est concentré sur des entreprises du secteur de la cybersécurité et de la défense, recourant à l’intelligence de sources ouvertes (OSINT) pour profiler des cibles de haute valeur et préparer des campagnes de phishing spécifiques

Un groupe de hackers nord-coréens connu sous le nom de UNC2970 a commencé à utiliser le modèle d’intelligence artificielle Gemini de Google pour mener des activités de reconnaissance et des cyberattaques. Ce comportement a été documenté dans un rapport du Google Threat Intelligence Group (GTIG), qui souligne un croisement préoccupant entre la recherche professionnelle et des activités malveillantes dans le domaine de la cybersécurité.

L’IA, c’est bien, mec

Selon les informations, UNC2970 s’est concentré sur des entreprises du secteur de la cybersécurité et de la défense, recourant à l’intelligence des sources ouvertes (OSINT) pour profiler des cibles de haute valeur et préparer des campagnes de phishing spécifiques. Le groupe utilise Gemini pour cartographier les rôles techniques et leurs salaires, créant des profils qui facilitent la conception d’attaques ciblées.

Les chercheurs ont identifié de nouveaux types de malware utilisant Gemini, comme HONESTCUE, un framework qui permet aux attaquants de générer du code de fonctionnalité supplémentaire, et COINBAIT, un kit de phishing conçu pour se faire passer pour un échange de cryptomonnaies, visant à collecter des identifiants. HONESTCUE, pour sa part, fonctionne en utilisant l’API de Gemini pour recevoir du code source en C#, qui s’exécute en mémoire, laissant peu de traces sur le système cible.

De plus, des campagnes de ClickFix utilisant des instructions générées par l’IA pour résoudre des problèmes informatiques courants ont été détectées, mais qui distribuent finalement des logiciels malveillants conçus pour voler des informations. Les experts avertissent que supposer que garder les poids du modèle privés est suffisant pour se protéger est une grave erreur ; la collecte d’informations via des requêtes peut entraîner la réplication du comportement original du modèle.

Google a pris des mesures pour interrompre ces attaques et a attiré l’attention sur le risque croissant que représentent les groupes de hackers qui utilisent des outils comme Gemini pour accélérer les phases du cycle d’attaque cybernétique. À mesure que la technologie progresse, les tactiques de ceux qui cherchent à l’exploiter évoluent également.

La Commission européenne était sur la sellette en raison d'un incident de cybersécurité

La Commission européenne a confirmé avoir détecté et contenu un incident de sécurité affectant l’infrastructure centrale chargée de gérer les dispositifs mobiles du personnel. L’événement, identifié le 30 janvier par le biais de télémétrie interne, a entraîné un accès non autorisé à un sous-ensemble limité d’informations identifiables, spécifiquement les noms et numéros de mobile des employés. Il est important de souligner que l’intrusion s’est limitée à la couche de gestion et n’a pas compromis les dispositifs finaux pendant l’attaque. Problèmes mobiles Les systèmes affectés ont été isolés et soumis à des procédures de nettoyage sur un total d’environ neuf […]

La Commission européenne a confirmé qu’elle a détecté et contenu un incident de sécurité affectant l’infrastructure centrale chargée de gérer les appareils mobiles du personnel.

L’événement, identifié le 30 janvier grâce à une télémétrie interne, a entraîné un accès non autorisé à un sous-ensemble limité d’informations identifiables, spécifiquement les noms et numéros de portable des employés. Il est important de souligner que l’intrusion s’est limitée à la couche de gestion et n’a pas compromis les appareils finaux pendant l’attaque.

Problèmes mobiles

Les systèmes affectés ont été isolés et soumis à des procédures de nettoyage pendant environ neuf heures, un temps qui démontre une capacité de réponse aux incidents bien développée. La rapide containment de l’incident a évité des mouvements latéraux depuis l’infrastructure de gestion vers la flotte mobile, neutralisant efficacement le risque d’une plus grande violation de la sécurité.

L’incident s’est produit peu après la mise en œuvre de mises à jour significatives dans le cadre de gouvernance de la cybersécurité de l’UE, y compris le nouveau paquet sur la cybersécurité et la Loi sur la cybersécurité 2.0. Cette législation introduit des contrôles critiques pour atténuer les risques associés aux fournisseurs à haut risque, ainsi que des exigences de sécurité strictes à travers les 18 secteurs critiques définis par la Directive NIS2.

CERT-EU (Équipe de Réponse aux Urgences Informatiques pour les institutions de l’UE) dirige la défense du périmètre numérique de la Commission, surveillant en continu les menaces. Les connaissances acquises à partir de cet incident influenceront directement le développement continu des capacités défensives de la Commission, garantissant que des mesures proactives soient prises contre de futures menaces dans un environnement à haut risque.

Les stratégies mises en œuvre faciliteront la collaboration entre les États membres et la communication efficace des renseignements sur les menaces, ce qui est essentiel pour faire face aux attaques hybrides fréquentes qui menacent les services essentiels aujourd’hui.

La CISA a demandé aux agences fédérales d'abandonner les pare-feu et les routeurs

L’Agence de sécurité des infrastructures et de la cybersécurité (CISA) a émis un ordre à l’intention des agences fédérales pour qu’elles cessent d’utiliser des dispositifs de bord, tels que des pare-feu et des routeurs, qui ne sont plus pris en charge par leurs fabricants. Cette mesure vise à traiter les vulnérabilités persistantes de ces dispositifs, qui sont connues pour être des points d’accès fréquents pour les attaquants cybernétiques. La CISA ne cesse pas En vertu de cette directive, les agences de l’exécutif fédéral doivent réaliser un inventaire des dispositifs dans leurs systèmes qui ne sont plus pris en charge dans un délai de trois mois. De plus, elles devront remplacer […]

L’Agence de la cybersécurité et des infrastructures (CISA) a émis un ordre à l’intention des agences fédérales pour qu’elles cessent d’utiliser des dispositifs de bord, tels que des pare-feu et des routeurs, qui ne bénéficient plus du soutien de leurs fabricants. Cette mesure vise à traiter les vulnérabilités persistantes de ces dispositifs, qui sont connues pour être des points d’accès fréquents pour les attaquants cybernétiques.

Le CISA ne s’arrête pas

En vertu de cette directive, les agences de l’exécutif fédéral doivent réaliser un inventaire des dispositifs dans leurs systèmes qui ne sont plus pris en charge dans un délai de trois mois. De plus, elles devront remplacer ces dispositifs par d’autres qui sont effectivement soutenus dans l’année qui suit. La CISA a souligné que le maintien de dispositifs non pris en charge dans les réseaux d’entreprise représente un risque significatif pour la cybersécurité fédérale.

Le directeur par intérim de la CISA, Madhu Gottumukkala, a souligné que « les dispositifs non pris en charge représentent un risque grave pour les systèmes fédéraux et ne doivent pas rester sur les réseaux ». Bien que la CISA n’ait pas le pouvoir d’obliger les agences à se conformer à ses ordres, l’organisation collabore avec elles pour renforcer la cyberrésilience et suggère que les entités non fédérales suivent ces directives.

L’annonce intervient dans un contexte de préoccupation croissante concernant les campagnes cybernétiques qui menacent à la fois les secteurs public et privé, mettant en danger la sécurité et la vie privée des citoyens américains. La CISA a observé que les dispositifs obsolètes sont souvent utilisés par des hackers comme porte d’entrée vers les réseaux des systèmes d’information fédéraux. C’est pourquoi il est demandé aux agences de développer un processus leur permettant d’identifier régulièrement les dispositifs qui sont devenus ou sont sur le point de devenir non pris en charge dans deux ans.

Amazon est confronté à des problèmes de cybersécurité… À cause de l'IA !

Des découvertes récentes de l’équipe de recherche sur les menaces de Sysdig mettent en évidence un changement alarmant dans la manière dont les acteurs malveillants utilisent l’intelligence artificielle (IA) pour mener des attaques dans le cloud. Selon le rapport, les attaquants ont considérablement réduit le cycle d’attaque dans le cloud de plusieurs heures à quelques minutes, en utilisant des outils d’IA tels que des modèles de langage pour automatiser la collecte d’informations et la génération de code malveillant. Amazon contre l’IA ? Un cas notable s’est produit en novembre 2025, lorsque les attaquants ont obtenu des identifiants valides d’Amazon Web Services (AWS) stockés de […]

Des découvertes récentes de l’équipe de recherche sur les menaces de Sysdig mettent en évidence un changement alarmant dans la manière dont les acteurs malveillants utilisent l’intelligence artificielle (IA) pour mener des attaques dans le cloud. Selon le rapport, les attaquants ont considérablement réduit le cycle d’attaque dans le cloud de plusieurs heures à quelques minutes, en utilisant des outils d’IA tels que des modèles de langage pour automatiser la collecte d’informations et la génération de code malveillant.

Amazon contre l’IA ?

Un cas notable s’est produit en novembre 2025, lorsque des attaquants ont obtenu des identifiants valides d’Amazon Web Services (AWS) stockés publiquement dans des buckets S3. En moins de 10 minutes, ils sont passés du vol initial d’identifiants à l’obtention de privilèges administratifs, compromettant ainsi un environnement AWS qui comprenait des services critiques tels que Lambda, EC2 et CloudWatch.

Lors de l’opération, les attaquants ont réparti leurs processus sur 19 services AWS et ont créé un utilisateur avec un accès administratif nommé « backdoor-admin ». Cette stratégie démontre une sophistication remarquable dans la persistance de leurs attaques. De plus, des techniques d’évasion de sécurité ont été utilisées, comme des outils pour faire tourner les adresses IP, rendant la détection de leurs activités plus difficile.

La recherche souligne également que l’utilisation de modèles de langage a permis aux attaquants de produire un code plus efficace, y compris un script qui présentait une gestion des exceptions exhaustive et des commentaires en serbe. De plus, plusieurs « hallucinations » générées par l’IA ont été identifiées, comme des tentatives d’assumer des rôles dans des identifiants de comptes AWS fictifs et des références à des dépôts inexistants.

Les experts avertissent de la nécessité d’implémenter des principes de moindre privilège pour tous les utilisateurs et rôles IAM, de restreindre certains permissions et d’activer l’enregistrement des invocations pour prévenir de futurs incidents. Avec l’avancée des capacités des modèles de langage, il est probable que des attaques de ce type deviennent plus courantes, ce qui souligne l’urgence de renforcer la défense dans le domaine de la cybersécurité.

Ces nouvelles tactiques de phishing qui exploitent la confiance entre les hauts dirigeants

Récemment, une attaque de phishing sophistiquée a mis en alerte les entreprises, en particulier celles opérant au Moyen-Orient. Les acteurs malveillants ont réussi à usurper un fil de courriel en cours entre des cadres supérieurs, utilisant un lien de phishing imitant un formulaire d’authentification de Microsoft, ce qui démontre une exécution ingénieuse de l’ingénierie sociale. La technique ingénieuse d’usurpation d’identité L’attaque a commencé avec un compte de directeur des ventes compromis dans une entreprise contractante, permettant l’insertion d’un message malveillant dans une conversation légitime. Cette tactique, qui exploite la confiance […]

Récemment, une attaque de phishing sophistiquée a mis en alerte les entreprises, en particulier celles opérant au Moyen-Orient. Les acteurs malveillants ont réussi à usurper un fil de courriel en cours entre des cadres supérieurs, utilisant un lien de phishing qui imitait un formulaire d’authentification de Microsoft, ce qui démontre une exécution ingénieuse de l’ingénierie sociale.

La technique ingénieuse de l’usurpation d’identité

L’attaque a commencé par un compte de directeur des ventes compromis dans une entreprise sous-traitante, permettant l’insertion d’un message malveillant dans une conversation légitime. Cette tactique, qui exploite la confiance et la communication au sein des organisations, s’est révélée particulièrement efficace, car les attaquants ont profité de véritables e-mails entre employés pour créer une apparence de normalité dans leurs e-mails de phishing.

Les chercheurs ont lié l’incursion à une campagne active depuis décembre 2025, qui s’est principalement dirigée vers des entreprises du secteur financier et de l’énergie dans la région. La recherche a révélé l’utilisation d’EvilProxy, un outil de phishing qui évite les détections traditionnelles, en introduisant un système de proxy qui permet aux attaquants d’opérer sans être détectés.

Ce type d’attaque ne se contente pas de tirer parti des vulnérabilités techniques, mais il exploite également des flux de travail humains, rendant les e-mails parfaits, ce qui complique leur détection par des systèmes de filtrage comme DMARC. À mesure que le travail à distance se normalise et que les processus d’approbation asynchrones deviennent courants, les entreprises font face à un risque accru de compromissions.

L’importance de disposer de mesures de défense adéquates a considérablement augmenté. Des outils comme ANY.RUN offrent la capacité de détecter des comportements de phishing en temps réel, réduisant ainsi les temps de réponse aux incidents et renforçant la cybersécurité des entreprises.

La montée du malware généré par l'IA pose de nouvelles menaces pour la cybersécurité

Des chercheurs en sécurité ont alerté sur une augmentation alarmante du développement de logiciels malveillants utilisant des outils d’intelligence artificielle, marquant une transition significative du domaine théorique au pratique dans la cybercriminalité. Ce phénomène a été documenté par la société de cybersécurité Check Point Research, qui a analysé les activités d’un acteur de menace connu soutenu par l’État nord-coréen, connu sous le nom de KONNI, qui est actif depuis plus d’une décennie. L’évolution des cybermenaces Au départ, l’approche de KONNI se concentrait sur des politiciens, des diplomates et des universitaires, principalement en Corée du Sud. Cependant, lors de sa dernière campagne, […]

Des chercheurs en sécurité ont alerté sur une augmentation alarmante du développement de logiciels malveillants utilisant des outils d’intelligence artificielle, marquant une transition significative du domaine théorique au pratique dans la cybercriminalité. Ce phénomène a été documenté par la société de cybersécurité Check Point Research, qui a analysé les activités d’un acteur de menace bien connu soutenu par l’État nord-coréen, connu sous le nom de KONNI, qui est actif depuis plus d’une décennie.

L’évolution des cybermenaces

Au départ, l’approche de KONNI se concentrait sur les politiciens, les diplomates et les universitaires, principalement en Corée du Sud. Cependant, lors de sa dernière campagne, le groupe a changé sa stratégie, s’adressant aux développeurs de logiciels, en particulier ceux liés à la blockchain et aux cryptomonnaies. Les attaquants ont utilisé des techniques de phishing très convaincantes pour accéder aux infrastructures cloud, aux dépôts de code source et aux identifiants de blockchain.

Les chercheurs de CPR expliquent que ceux qui sont tombés dans le piège ont permis l’installation d’une porte dérobée générée par IA dans PowerShell, ce qui a donné aux attaquants un accès complet aux ordinateurs des victimes et aux secrets qui y sont stockés. Cet usage de malware généré par IA non seulement accélère le développement de nouvelles attaques, mais permet également une personnalisation plus rapide et flexible des menaces, contournant ainsi les méthodes de détection traditionnelles basées sur des signatures.

Face à cette nouvelle réalité, les professionnels de la cybersécurité devront adapter leurs approches. Il est souligné la nécessité de considérer les environnements de développement comme des cibles de haute valeur et de renforcer la prévention contre le phishing au sein des flux de travail de collaboration et de développement. De plus, il est recommandé de protéger les infrastructures de développement et le cloud avec des contrôles d’accès robustes et d’utiliser des techniques de prévention des menaces alimentées par l’IA pour détecter les malwares invisibles aux premières étapes d’une attaque.

En Jordanie, être activiste peut entraîner le piratage de votre téléphone

Les autorités jordaniennes ont utilisé la technologie de déblocage de téléphones de l’entreprise Cellebrite pour accéder aux dispositifs d’activistes et de défenseurs des droits humains dans le pays, selon une enquête de Citizen Lab. Cet accès, obtenu sans consentement, contrevient aux traités internationaux des droits humains que la Jordanie a ratifiés. L’enquête, publiée jeudi, a été réalisée en coordination avec le Organized Crime and Corruption Reporting Project (OCCRP) et a déterminé que les téléphones de quatre activistes ont été soumis à une extraction judiciaire utilisant les technologies de Cellebrite. Attention en Jordanie ! Il s’agit de cas qui se sont produits entre la fin […]

Les autorités jordaniennes ont utilisé la technologie de déverrouillage de téléphones de l’entreprise Cellebrite pour accéder aux dispositifs d’activistes et de défenseurs des droits humains dans le pays, selon une enquête de Citizen Lab. Cet accès, obtenu sans consentement, contrevient aux traités internationaux des droits humains que la Jordanie a ratifiés. L’enquête, publiée jeudi, a été réalisée en coordination avec le Organized Crime and Corruption Reporting Project (OCCRP) et a déterminé que les téléphones de quatre activistes ont été soumis à une extraction judiciaire utilisant les technologies de Cellebrite.

Attention en Jordanie !

Il s’agit de cas qui se sont produits entre la fin de 2023 et le milieu de 2025, dans un contexte de manifestations en soutien aux Palestiniens. Les téléphones analysés appartenaient à un activiste politique, un organisateur étudiant, un chercheur/activiste et un défenseur des droits de l’homme, trois d’entre eux étant des iPhones et un un appareil Android. Les documents judiciaires liés à la Loi sur la cybercriminalité de Jordanie de 2023 ont fourni des preuves supplémentaires concernant ces accès illégaux.

Les activistes dont les téléphones ont été analysés ont exprimé leur malaise et le sentiment de vulnérabilité que cela a engendré, les conduisant, dans certains cas, à l’autocensure par manque de confiance dans la confidentialité de leurs données. « Je me sens violé, comme si on m’avait volé quelque chose », a commenté l’un des concernés, sous condition d’anonymat.

Cellebrite a déclaré qu’elle interdit les transactions avec des entités figurant sur des listes de sanctions et assure que sa technologie est licenciée uniquement à des fins légales. Cependant, un historique d’abus de sa technologie a été documenté dans plusieurs pays, comme l’a rapporté Amnesty International dans le cas de la Serbie. Citizen Lab a critiqué les réponses de Cellebrite à ses enquêtes, les qualifiant de “vagues et infondées”.

La situation met en lumière les préoccupations concernant la surveillance des activistes en Jordanie et la complicité des technologies conçues pour la sécurité, qui peuvent être utilisées pour enfreindre les droits fondamentaux.

Une importante entreprise de gestion de mots de passe subit une attaque de phishing qui peut te faire perdre ton compte

Les utilisateurs de LastPass font face à une nouvelle et dangereuse campagne de phishing qui tente de voler leurs identifiants. Des cybercriminels usurpent la populaire entreprise de gestion de mots de passe pour tromper les utilisateurs et leur faire croire qu’ils doivent créer une sauvegarde locale de leurs coffres numériques, où sont stockés leurs mots de passe. Selon un communiqué publié par LastPass, cette campagne a commencé le 19 janvier et a été décrite comme hautement convaincante. Ne tombez pas dans ce cas de phishing. Les e-mails frauduleux semblent provenir d’adresses illégitimes, comme “support@lastpass[.]server8” et “support@sr22vegas[.]com”, et prétendent générer un sentiment de […]

Les utilisateurs de LastPass font face à une nouvelle et dangereuse campagne de phishing qui tente de voler leurs identifiants. Des cybercriminels usurpent la célèbre entreprise de gestion de mots de passe pour tromper les utilisateurs et leur faire croire qu’ils doivent créer une sauvegarde locale de leurs coffres numériques, où sont stockés leurs mots de passe. Selon un communiqué publié par LastPass, cette campagne a commencé le 19 janvier et a été décrite comme très convaincante.

Ne tombe pas dans ce cas de phishing

Les e-mails frauduleux semblent provenir d’adresses illégitimes, comme « support@lastpass[.]server8 » et « support@sr22vegas[.]com », et prétendent créer un sentiment d’urgence en affirmant qu’une sauvegarde est nécessaire en raison d’une maintenance programmée. LastPass a souligné qu’il n’a pas demandé à ses clients de sauvegarder leurs comptes dans un délai de 24 heures, alertant sur la possible manipulation.

Les hackers sont rusés en incluant un bouton qui dit « Créer une sauvegarde maintenant », qui, en cliquant, mène les utilisateurs vers un site de phishing conçu pour voler leurs identifiants, y compris potentiellement le mot de passe principal. Ce type d’escroquerie souligne l’importance de rester vigilant face aux signaux d’alerte et de pratiquer de bonnes habitudes en matière de cybersécurité.

Les experts recommandent aux utilisateurs d’utiliser différents services pour stocker des mots de passe critiques et de mémoriser leur mot de passe principal, en évitant de le noter à un endroit accessible. De plus, les clés de passe offrent une alternative plus sécurisée, car elles sont liées à un appareil spécifique et sont plus difficiles à déchiffrer que les mots de passe traditionnels.

Dans ce contexte, il est crucial de garder son calme et de ne pas se laisser emporter par l’urgence en recevant des e-mails suspects. Il est toujours recommandé d’examiner attentivement les liens et la légitimité des adresses e-mail, afin d’éviter de tomber dans des pièges qui pourraient compromettre la sécurité de nos informations personnelles.

Avast Antivirus Gratuit TÉLÉCHARGER

Les négociateurs de ransomware sont à un pas du Far West, sans aucune règle

La négociation de ransomware a émergé comme une pratique controversée et obscure dans le domaine de la cybersécurité, où les besoins des organisations se heurtent aux crimes financiers. Sans cadre réglementaire ni normes claires, cette situation ressemble à un Far West, laissant les négociateurs dans une position compliquée. Ils doivent équilibrer les besoins de leurs clients sans contribuer au crime financier, faisant face à des dilemmes éthiques et juridiques. Le Far West de la cybersécurité Le manque de transparence dans ces négociations permet aux attaquants de manipuler le récit et d’augmenter les demandes de rançon. Les criminels, en quête de notoriété, […]

La négociation de ransomware a émergé comme une pratique controversée et obscure dans le domaine de la cybersécurité, où les besoins des organisations se heurtent aux crimes financiers. Sans cadre réglementaire ni normes claires, cette situation ressemble à un Far West, laissant les négociateurs dans une position compliquée. Ils doivent équilibrer les besoins de leurs clients sans contribuer au délit financier, faisant face à des dilemmes éthiques et juridiques.

Le Far West de la cybersécurité

Le manque de transparence dans ces négociations permet aux attaquants de manipuler le récit et d’augmenter les demandes de rançon. Les criminels, en quête de notoriété, ont même recours à des menaces physiques, ce qui complique encore plus la situation. De plus, bien que de nombreux paiements aboutissent à des accords satisfaisants, il existe un risque de ré-extorsion, créant un cycle de vulnérabilité pour les victimes.

Différentes entreprises de réponse aux incidents adoptent des approches variées lorsqu’il s’agit de négocier avec des cybercriminels. Tandis que des entreprises comme CrowdStrike et Mandiant refusent de participer directement à la négociation des rançons, d’autres, comme Palo Alto Networks, négocient mais ne procèdent pas à des paiements. Les experts soulignent la nécessité d’un cadre standardisé qui définisse les règles de négociation et protège les victimes des abus.

La négociation de ransomware, encore dépourvue d’un processus structuré et de certification, favorise un environnement où s’entrelacent intérêts commerciaux et éthiques. Certains négociateurs, motivés par le profit économique, peuvent faire face à des conflits d’intérêts en percevant un pourcentage de la rançon. Cet environnement met non seulement en danger les organisations victimes, mais perpétue également le cycle criminel dans lequel opèrent les ransomwares.

En fin, la communauté de la cybersécurité fait face au défi de trouver un équilibre entre la protection des victimes et la dissuasion des cybercriminels, un objectif qui ne peut être atteint dans l’obscurité.

Attention à LinkedIn ! Cette opportunité d'emploi peut être un cyberattaque

Des chercheurs en cybersécurité ont mis en évidence une nouvelle campagne de phishing qui se propage via des messages privés sur les réseaux sociaux, en particulier sur LinkedIn. Cette méthode permet aux attaquants d’établir une confiance avec des individus de grande valeur avant de compromettre leurs systèmes. Selon un rapport de ReliaQuest, la campagne utilise des fichiers malveillants livrés par la technique de sideloading de bibliothèques dynamiques (DLL), combinés avec des scripts Python de test de pénétration open source. Ne lisez pas vos DMs d’inconnus, au cas où. La stratégie consiste à approcher les victimes par des messages sur LinkedIn, les incitant à télécharger un fichier d’archive […]

Des chercheurs en cybersécurité ont mis en avant une nouvelle campagne de phishing qui se propage via des messages privés sur les réseaux sociaux, en particulier sur LinkedIn. Cette méthode permet aux attaquants d’établir une confiance avec des individus de grande valeur avant de compromettre leurs systèmes. Selon un rapport de ReliaQuest, la campagne utilise des fichiers malveillants livrés par la technique de sideloading de bibliothèques dynamiques (DLL), combinés avec des scripts Python de test de pénétration en open source.

Ne lis pas tes DMs d’inconnus, au cas où

La stratégie consiste à approcher les victimes par le biais de messages sur LinkedIn, les incitant à télécharger un fichier auto-extractible WinRAR qui, une fois exécuté, active une chaîne d’infection. Dans ce processus, plusieurs composants malveillants sont extraits, où l’exécution d’une application de lecteur de PDF déclenche le chargement malveillant. Cette technique est devenue de plus en plus courante parmi les acteurs de la menace, car elle permet de dissimuler des activités suspectes et d’échapper à la détection.

Une fois que le système est infecté, les attaquants obtiennent un accès distant persistant, ce qui leur permet d’exfiltrer des données sensibles et d’escalader les privilèges au sein du réseau compromis. ReliaQuest indique que cette activité est de grande envergure et opportuniste, touchant diverses industries. La facilité d’utilisation des outils légitimes et l’abus des plateformes sociales soulignent la croissance des attaques de phishing qui vont au-delà des courriels traditionnels.

Des expériences passées ont montré que LinkedIn a été utilisé pour des attaques ciblées, avec des acteurs malveillants se faisant passer pour des opportunités d’emploi. Le manque de surveillance des messages privés sur ces plateformes présente une lacune significative dans les postures de sécurité organisationnelles, suggérant que les entreprises doivent considérer les réseaux sociaux comme un domaine critique d’exposition aux attaques et élargir leurs défenses au-delà d’une approche centrée sur l’e-mail.