Nouvelle méthode pour traquer les acteurs malveillants dans le cloud

Unit 42 décrit une technique qui corrèle les alertes de sécurité cloud avec les techniques du framework MITRE ATT&CK pour cartographier les comportements des attaquants dans les environnements cloud. L’objectif est d’identifier plus vite les opérations des groupes APT dans le cloud en s’appuyant sur les tendances d’alertes plutôt que sur des IoC isolés.
[Article Original]

Campagne de phishing Apple Pay avec faux support téléphonique

Une campagne de phishing très soignée imite des reçus Apple et des alertes de fraude Apple Pay, poussant les victimes à appeler un faux numéro de “support”. Les attaquants se servent ensuite de la confiance accordée à Apple pour soutirer codes de vérification, des identifiants Apple ID et des données bancaires, puis prennent le contrôle des comptes et moyens de paiement.
[Article Original]

Attaques via faux fichiers PDF installant le RAT AsyncRAT

La campagne DEAD#VAX envoie des e‑mails de phishing vers des “factures” ou “bons de commande” se présentant comme des PDF, qui sont en réalité des disques virtuels (VHD). Une fois montés, ils contiennent un script qui injecte AsyncRAT dans des processus Windows légitimes, permettant aux attaquants de prendre le contrôle à distance de la machine sans laisser de binaire malveillant évident sur le disque.
[Article Original]

Compromission de paquets dYdX sur npm et PyPI pour voler des portefeuilles

Des paquets liés à dYdX sur npm et PyPI ont été compromis pour distribuer des voleurs de portefeuilles crypto et des RAT. Les développeurs qui ajoutent ces dépendances malveillantes à leurs projets exposent leurs environnements de build, ainsi que les utilisateurs finaux, à des vols d’actifs et à des compromissions plus larges de la chaîne logicielle.
[Article Original]

Backdoor dans Notepad++ via infrastructure de mise à jour compromise

Une version trojanisée de Notepad++ a été distribuée via une infrastructure d’update compromise pendant plusieurs mois, utilisée par un groupe lié à la Chine pour livrer du malware à des cibles choisies. Les anciennes versions vérifiaient insuffisamment l’authenticité des mises à jour ; il est recommandé de mettre à jour au minimum vers la version 8.9.1 pour corriger ces faiblesses.
[Article Original]

Principales Menaces Cybersécurité de la Semaine

1. Phishing couplé à l’ingénierie sociale en temps réel (Apple Pay & faux supports)

• Mélange d’e‑mails ultra crédibles et d’appels téléphoniques pseudo-« support » pour contourner la méfiance habituelle vis‑à‑vis des e‑mails seuls.
• Menace majeure car elle exploite la confiance dans des marques grand public (Apple) et le réflexe de panique face à une alerte de fraude, tout en ciblant directement l'authentification forte (codes 2FA) et les moyens de paiement.

1. Malwares furtifs en mémoire et abus de formats “normaux” (faux PDF, VHD, AsyncRAT)

• L’usage de VHD déguisés en PDF, montés comme disques avant d’exécuter un script, illustre une tendance forte : détourner des fonctions légitimes de Windows pour éviter les détections basées sur les fichiers classiques.
• Couplé à un RAT full‑mémoire (AsyncRAT) injecté dans des processus signés Microsoft, cela complique la détection, l’investigation et augmente le risque de compromission profonde (vol de mots de passe, espionnage, mouvements latéraux).

1. Chaîne logicielle et écosystèmes de développement empoisonnés (npm/PyPI, Notepad++)

• La compromission de paquets open source (npm, PyPI) et d’outils massivement utilisés (Notepad++) montre que l’attaquant n’a plus besoin de viser chaque entreprise individuellement : il suffit de contaminer un maillon populaire.
• Les développeurs et équipes DevOps deviennent ainsi une surface d’attaque stratégique ; une dépendance mal vérifiée ou une mise à jour insuffisamment authentifiée peut ouvrir la voie à des vols de secrets, de crypto‑actifs ou à des backdoors profondes dans les applications et infrastructures.

“Dans le cloud comme sur votre poste de travail, le maillon faible n’est plus la technologie, mais la confiance mal placée – dans un e‑mail, une mise à jour ou un paquet open source.”

Conseil de la semaine

• Pour les utilisateurs :
• Ne jamais appeler un numéro fourni dans un e‑mail d’alerte “Apple Pay”, banque ou autre service financier ; passez toujours par l’appli officielle ou le site que vous saisissez vous‑même.
• Ne partagez jamais vos codes 2FA, même à une personne se présentant comme “support”. Un vrai support ne les demandera jamais.
• Pour les admins / équipes IT :
• Activez l’affichage des extensions de fichiers sous Windows, bloquez l’exécution de VHD/WSF depuis les zones non approuvées, et durcissez la politique d’exécution de scripts.
• Mettez en place une gestion des dépendances (npm/PyPI) avec miroirs de confiance, vérification de l’intégrité, revue des nouveaux paquets et limitation stricte des comptes ayant le droit de publier ou d’ajouter des dépendances.
• Vérifiez que tous les outils très répandus (comme Notepad++) sont à jour et que les mises à jour passent par des sources authentifiées (hash, signature, store officiel).