Brad6d ago

#CVE_2017_11882 or some similar BS from an Excel file attached to a message sent to my blog email address. Final malware seems to be an AgentTesla/SnakeKeyLogger/VIP Recovery variant. Sample at:

https://bazaar.abuse.ch/sample/263b3f3c5e91c8fe858803ceae4b268af40536487828cf980e8d6e4d793648c0/

Calls for follow-up files at:

- hxxp[:]//91.92.242[.]3:7777/noesisllc.online/wealt1818/wealtt/nerdfwiqtwqhdgfrwt6fntdwrgonht.js

- hxxp[:]//91.92.242[.]3:7777/noesisllc.online/wealt1818/ENCRYPT.Ps1

Samples of these follow-up files at:

- https://bazaar.abuse.ch/sample/c47d92db7ed3cc5fdbb3296f3f4ab328cd8b66ac079f5bf658d4f2fa5f8a6af7/

- https://bazaar.abuse.ch/sample/dd737dea20792860147b53679f68e964778a2b47e98d7187ccd4ead0127aec76/

CyberVeille.chMar 9
📱 LLM et analyse de malware : gains rĂ©els, limites fortes et bonnes pratiques
📝 Security Blog publie un retour d’expĂ©rience dĂ©taillĂ© sur l’usage d’LLMs (GPT‑5.1/mini, Claude Sonnet 4.6/Opus) dans un labo d’analyse de malwares, basĂ© s...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-llm-et-analyse-de-malware-gains-reels-limites-fortes-et-bonnes-pratiques/
🌐 source : https://blog.gdatasoftware.com/2026/03/38381-llm-malware-analysis
#CVE_2017_11882 #Ghidra #Cyberveille
LLM et analyse de malware : gains réels, limites fortes et bonnes pratiques

Security Blog publie un retour d’expĂ©rience dĂ©taillĂ© sur l’usage d’LLMs (GPT‑5.1/mini, Claude Sonnet 4.6/Opus) dans un labo d’analyse de malwares, basĂ© sur des tests concrets (dont CVE‑2017‑11882) et l’intĂ©gration d’outils via MCP. đŸ§Ș Mise en place et premiers essais L’auteur dĂ©ploie deux VMs (Remnux et Windows 10) et connecte des serveurs MCP (remnux, remnux-docs, x64dbg, virustotal, ssh-mcp, ghidra-mcp) pour piloter analyse statique/dynamique. Sur un document Office exploitant CVE‑2017‑11882 (Equation Editor), GPT‑5.1‑mini Ă©choue (faux positifs, mauvaise lecture d’oletools “decalage.info”, Ă©checs avec Unicorn/Speakeasy). GPT‑5.1 et Claude Sonnet 4.6 rĂ©ussissent avec guidage : extraction du shellcode, Ă©mulation Speakeasy et rĂ©cupĂ©ration de l’URL du stage suivant. Sonnet 4.6 identifie seul l’exploit et la zone du shellcode, mais requiert l’émulation pour obtenir l’URL. 🚀 EfficacitĂ© vs fiabilitĂ©

CyberVeille
CyberVeille.chDec 26
📱 Malspam en Europe: chaĂźne d’infection multi‑étapes livrant l’infostealer PureLogs via CVE‑2017‑11882
📝 ...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-malspam-en-europe-chaine-dinfection-multi-etapes-livrant-linfostealer-purelogs-via-cve-2017-11882/
🌐 source : https://dimanec.unipegaso.it/losservatorio-sulla-cybersecurity-del-centro-di-ricerca-aisi-pubblica-il-report-dissecting-a-new-malspam-chain-delivering-purelogs-infostealer-november-25-2025/
#CVE_2017_11882 #IOC #Cyberveille
Malspam en Europe: chaĂźne d’infection multi‑étapes livrant l’infostealer PureLogs via CVE‑2017‑11882

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigĂ© par Luigi Martire, dissĂ©quant une chaĂźne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifiĂ© une nouvelle chaĂźne de malspam utilisĂ©e pour diffuser l’infostealer PureLogs, un malware spĂ©cialisĂ© dans le vol massif de donnĂ©es sensibles. La campagne repose sur des emails de phishing ciblĂ©s, se faisant passer pour des communications lĂ©gitimes d’entreprises de logistique, afin d’inciter les victimes Ă  ouvrir des documents Microsoft Word piĂ©gĂ©s.

CyberVeille
CyberVeille.chDec 26
📱 Paysage des menaces ICS T3 2025 : baisse globale, scripts/phishing et spyware en hausse
📝 Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ».
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-paysage-des-menaces-ics-t3-2025-baisse-globale-scripts-phishing-et-spyware-en-hausse/
#CVE_2017_11882 #ICS_OT #Cyberveille
Paysage des menaces ICS T3 2025 : baisse globale, scripts/phishing et spyware en hausse

Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ». Ce bilan mondial dĂ©taille l’évolution trimestrielle des menaces visant les environnements industriels (ICS/OT), par catĂ©gories, rĂ©gions, secteurs et vecteurs d’infection. ‱ Chiffres clĂ©s 📊: la part d’ordinateurs ICS ayant vu des objets malveillants bloquĂ©s baisse Ă  20,1 % (plus bas depuis 2022). Les menaces depuis Internet reculent Ă  7,99 % (plus bas depuis 2022), mais les scripts malveillants et pages de phishing progressent Ă  6,79 % (+0,3 pp), et le spyware atteint 4,04 % (+0,2 pp), prenant la 2e place des catĂ©gories. Les ressources internet sur liste noire chutent Ă  4,01 % (plus bas depuis 2022). Ransomware: 0,17 % (+0,03 pp). Par rĂ©gion, l’éventail va de 9,2 % (Europe du Nord) Ă  27,4 % (Afrique); le pic de blocages a eu lieu en aoĂ»t, et septembre est au plus bas depuis deux ans.

CyberVeille