Emails de phishing en japonais ciblant ANA, DHL et myTOKYOGAS

Une campagne de phishing en langue japonaise cible depuis au moins un an les clients de grandes marques (compagnie aérienne ANA, DHL, fournisseur d’énergie myTOKYOGAS). Les emails utilisent des domaines en `.cn`, un client mail Foxmail et redirigent vers de faux sites de connexion, illustrant des tentatives ciblées mais susceptibles de toucher aussi des non‑japonophones.
[Article Original]

« Starkiller » : un service de phishing‑as‑a‑service qui contourne le MFA

Le kit de phishing Starkiller charge en temps réel la vraie page de connexion (Microsoft, Google, Apple, etc.) via un proxy, enregistre chaque frappe, intercepte les cookies et les jetons de session, et contourne ainsi efficacement l’authentification multifacteur. Il fournit tableau de bord, statistiques, alertes Telegram et URL masquées, mettant des capacités avancées de vol de comptes à portée de cybercriminels peu expérimentés.
[Article Original]

Vulnérabilité critique BeyondTrust exploitée pour web shells, portes dérobées et exfiltration

Une faille d’exécution de code à distance dans la plateforme d’identité BeyondTrust (CVE‑2026‑1731) est activement exploitée dans des attaques réelles. Les attaquants déploient des outils comme VShell et SparkRAT pour installer des web shells, maintenir un accès persistant et exfiltrer des données, transformant une brique de sécurité en point d’entrée majeur.
[Article Original]

Malware Android PromptSpy : première utilisation de l’IA générative à l’exécution

Le malware Android « PromptSpy » s’appuie sur un modèle d’IA générative à l’exécution pour rester présent dans l’affichage des applications récentes et affiner son comportement. Il illustre une nouvelle génération de malwares mobiles qui exploitent l’IA pour améliorer furtivité, persistance et adaptation dynamique aux défenses.
[Article Original] 

Publicités Facebook diffusant de faux téléchargements Windows 11 volent mots de passe et cryptos

Des campagnes de publicités Facebook se faisant passer pour des annonces officielles Microsoft redirigent vers des clones quasi parfaits de la page de téléchargement de Windows 11. Le faux installeur `ms-update32.exe`, hébergé sur GitHub, installe une application malveillante « LunarApplication » qui vole mots de passe, sessions navigateur et portefeuilles de cryptomonnaies, tout en employant détection de sandbox, persistance via le registre et scripts PowerShell obfusqués.
[Article Original]

Principales Menaces Cybersécurité de la Semaine

1. Évolution majeure du phishing avec contournement du MFA et services clé en main

• Les campagnes de phishing se professionnalisent fortement : Starkiller fournit une plateforme SaaS complète qui proxifie les vraies pages de connexion, intercepte les codes MFA en temps réel et vole directement les sessions.
• Couplé à des campagnes de phishing ciblées (comme celles en japonais) et à l’usage de domaines masqués ou d’URL raccourcies, le phishing ne repose plus sur de simples pages copiées, mais sur des infrastructures sophistiquées capables de tromper même des utilisateurs sensibilisés.

1. Exploitation active de vulnérabilités dans les solutions de sécurité et d’identité

• La faille critique BeyondTrust (CVE‑2026‑1731) exploitée pour déposer web shells et RAT montre que les solutions d’identité et de privilèges, pourtant cœur de la défense, deviennent des cibles privilégiées.
• Ces vecteurs permettent aux attaquants d’obtenir rapidement des accès à haut niveau de privilège et de pivot­er dans tout le SI, rendant cruciale une gestion de vulnérabilités très réactive et une surveillance renforcée des outils de sécurité eux‑mêmes.

1. Usage croissant de l’IA et des grandes plateformes comme amplificateurs d’attaques

• PromptSpy démontre l’utilisation de l’IA générative côté attaquant pour améliorer la persistance et l’évasion sur Android, ouvrant la voie à des malwares plus adaptatifs.
• En parallèle, les attaquants exploitent la confiance dans les grandes plateformes (Facebook Ads, GitHub, services d’ID‑verification) pour distribuer des malwares sophistiqués et collecter massivement des données sensibles, rendant la détection plus difficile et les impacts potentiels plus graves (vol d’identités, détournement de cryptos, espionnage).

« En cybersécurité, la confiance ne se donne pas, elle se vérifie en permanence. Les attaquants, eux, exploitent chaque zone grise entre les deux. »

Conseil de la semaine

Renforcez vos défenses contre le phishing avancé et le vol de session :

• Activez systématiquement l’authentification multifacteur robuste, de préférence avec clés de sécurité physiques ou passkeys, moins exposées aux attaques par proxy.
• Vérifiez toujours l’adresse complète dans la barre d’URL, en particulier en présence d’un `@` ou d’un domaine suspect après ce symbole, et méfiez‑vous des liens envoyés par email ou via des publicités.
• Pour les mises à jour ou téléchargements critiques (Windows, applications métiers), passez toujours par les chemins officiels (paramètres système, portails d’entreprise, sites éditeurs tapés à la main), jamais via une pub ou un lien reçu.
• Côté entreprise, mettez en place une surveillance des connexions anormales (nouveaux lieux, nouveaux appareils, heures inhabituelles) et une révocation rapide des sessions en cas de doute sur un compte compromis.