đą Atlanta: arrestation pour effacement dâun Google Pixel avant une fouille du CBP
đ Selon 404 Media, sur la base de documents judiciaires et de publications sur les rĂ©seaux sociaux, un homme Ă Atlanta, Samuel Tunick, a...
đ cyberveille :
https://cyberveille.ch/posts/2025-12-10-atlanta-arrestation-pour-effacement-dun-google-pixel-avant-une-fouille-du-cbp/đ source :
https://www.404media.co/man-charged-for-wiping-phone-before-cbp-could-search-it/#CBP #Google_Pixel #CyberveilleAtlanta: arrestation pour effacement dâun Google Pixel avant une fouille du CBP
Selon 404 Media, sur la base de documents judiciaires et de publications sur les rĂ©seaux sociaux, un homme Ă Atlanta, Samuel Tunick, a Ă©tĂ© arrĂȘtĂ© et inculpĂ© pour avoir supposĂ©ment effacĂ© les donnĂ©es dâun tĂ©lĂ©phone Google Pixel avant quâun membre dâune unitĂ© secrĂšte de la CBP (Customs and Border Protection) ne puisse le fouiller.
La personne mentionnĂ©e est dĂ©crite comme un activiste local dâAtlanta. Les circonstances exactes de la fouille, notamment le motif initial, ne sont pas connues. Le mĂ©dia souligne quâil est peu courant de voir quelquâun poursuivi spĂ©cifiquement pour lâeffacement dâun tĂ©lĂ©phone, une fonctionnalitĂ© facilement accessible sur certains appareils orientĂ©s confidentialitĂ© et sĂ©curitĂ©. đ±đ 404 Media indique rechercher des informations supplĂ©mentaires et fournit des contacts pour des tips: Signal: joseph.404 et email: joseph@404media.co. âïž
Des donnĂ©es publicitaires exposent lâidentitĂ© et les habitudes de personnels sensibles français
Selon Le Monde (rubrique Pixels), dans le cadre dâune enquĂȘte collaborative internationale (« Data Brokers Files »), le journal a montrĂ© quâil est possible, via des donnĂ©es publicitaires facilement accessibles, dâidentifier avec certitude ou forte probabilitĂ© des personnels dâentitĂ©s sensibles en France, de retrouver leur domicile et de dĂ©duire leurs habitudes.
âą Nature du problĂšme: exposition de donnĂ©es de localisation issues de lâindustrie publicitaire (adtech), collectĂ©es Ă partir de smartphones puis revendues par des data brokers. Ces donnĂ©es peuvent ĂȘtre prĂ©cises Ă quelques mĂštres, permettant un suivi fin des dĂ©placements. đ±đ
đą Des pubs Google mĂšnent Ă des chats LLM piĂ©gĂ©s distribuant un stealer macOS (Shamus)
đ Dans un billet technique signĂ© Miguel, l'auteur documente une chaĂźne d'attaque oĂč des rĂ©sultats sponsorisĂ©s Google renvoient vers des chats LLM pa...
đ cyberveille :
https://cyberveille.ch/posts/2025-12-10-des-pubs-google-menent-a-des-chats-llm-pieges-distribuant-un-stealer-macos-shamus/đ source :
https://blog.breakpointsecurity.pt/blog/chatgpt-deepseek-malvertising#IOC #LLM #CyberveilleDes pubs Google mÚnent à des chats LLM piégés distribuant un stealer macOS (Shamus)
Dans un billet technique signĂ© Miguel, lâauteur documente une chaĂźne dâattaque oĂč des rĂ©sultats sponsorisĂ©s Google renvoient vers des chats LLM partagĂ©s (ChatGPT, DeepSeek) contenant des commandes terminal obfusquĂ©es visant macOS.
Lâattaque dĂ©bute par du malvertising: des requĂȘtes courantes (ex. « how to clear storage on mac ») mĂšnent Ă des chats LLM semblant lĂ©gitimes mais qui livrent des commandes base64. Celles-ci rĂ©cupĂšrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), lâenregistrent (/tmp/.pass), tĂ©lĂ©chargent un binaire (/tmp/update depuis nonnida.com) et lâexĂ©cutent avec sudo aprĂšs suppression de lâattribut de quarantaine.
Espagne : arrestation dâun hacker de 19 ans pour 64 M de donnĂ©es volĂ©es ; un courtier de comptes arrĂȘtĂ© en Ukraine
Selon BleepingComputer, les autoritĂ©s ont menĂ© deux opĂ©rations distinctes aboutissant Ă des arrestations en Espagne et en Ukraine, visant des individus soupçonnĂ©s dâinfractions cyber liĂ©es au vol massif de donnĂ©es et au piratage de comptes.
đ En Espagne, la Police nationale a arrĂȘtĂ© Ă Igualada (Barcelone) un suspect de 19 ans, accusĂ© dâavoir accĂ©dĂ© sans autorisation Ă neuf entreprises et dâavoir dĂ©robĂ© 64 millions dâenregistrements. Les donnĂ©es incluent des noms complets, adresses postales, emails, numĂ©ros de tĂ©lĂ©phone, numĂ©ros de DNI et codes IBAN. Le suspect fait face Ă des charges pour cybercriminalitĂ©, accĂšs non autorisĂ©, divulgation de donnĂ©es privĂ©es et atteintes Ă la vie privĂ©e.
EtherRAT : un implant Node.js avec C2 via Ethereum exploite React2Shell (CVE-2025-55182)
Contexte â Source: Sysdig Threat Research Team (TRT). Dans lâanalyse dâun Next.js compromis peu aprĂšs la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inĂ©dit bien plus avancĂ© que les charges observĂ©es initialement (miners, vols dâidentifiants).
đš Points saillants: EtherRAT est une porte dĂ©robĂ©e persistante en quatre Ă©tapes (shell dropper â dĂ©ploiement â dĂ©chiffreur â implant) qui exploite React2Shell pour exĂ©cuter du code Ă distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). Lâimplant tĂ©lĂ©charge un runtime Node.js lĂ©gitime (v20.10.0) depuis nodejs.org, charge un payload chiffrĂ© (AESâ256âCBC), et Ă©tablit un C2 via un smart contract Ethereum (rĂ©solution par consensus multiâRPC) avec polling toutes les 500 ms et exĂ©cution de code JavaScript arbitraire.
Europol arrĂȘte 193 suspects dans une opĂ©ration contre le «âŻviolence-as-a-serviceâŻÂ» recrutant des mineurs
Selon The Register, Europol et des forces de lâordre de 12 pays europĂ©ens ont menĂ© lâopĂ©ration OTF GRIMM depuis avril, ciblant des rĂ©seaux de «âŻviolence-as-a-serviceâŻÂ» qui recrutent des mineurs en ligne pour des agressions, enlĂšvements et meurtres.
đš RĂ©sultats et pĂ©rimĂštre de lâopĂ©ration
193 arrestations en six mois, dont: 63 exĂ©cutants ou planificateurs de violences, 40 «âŻfacilitateursâŻÂ», 84 recruteurs et 6 «âŻinstigateursâŻÂ» (dont 5 «âŻcibles de haute valeurâŻÂ»). Participation dâenquĂȘteurs de Belgique, Danemark, Finlande, France, Allemagne, Islande, Pays-Bas, NorvĂšge, Espagne, SuĂšde, RoyaumeâUni, avec Europol et des fournisseurs de services en ligne. 𧷠Cas notables citĂ©s
Fraude aux entitĂ©s synthĂ©tiques : lâIA et des contrĂŽles Ă©tatiques faibles dopent la crĂ©ation dâentreprises factices
Selon Information Security Media Group (ISMG), dans une interview vidĂ©o avec Andrew La Marca (Dun & Bradstreet), la fraude aux entitĂ©s synthĂ©tiques est passĂ©e dâune menace de niche Ă un risque majeur, portĂ©e par des outils dâIA et des contrĂŽles Ă©tatiques faibles sur lâenregistrement des entreprises.
La Marca explique que des fraudeurs peuvent crĂ©er des entreprises factices pour moins de 150 $, avec des payouts potentiels > 100 000 $ par identitĂ© falsifiĂ©e. Le phĂ©nomĂšne sâaccĂ©lĂšre et se gĂ©nĂ©ralise, impactant lâĂ©cosystĂšme financier et les acteurs du crĂ©dit.
đą Gartner recommande de bloquer les navigateurs IA agentiques pour le moment
đ Selon The Register (article de Simon Sharwood), un avis de Gartner intitulĂ© « Cybersecurity Must Block AI Browsers for Now » recommande aux o...
đ cyberveille :
https://cyberveille.ch/posts/2025-12-10-gartner-recommande-de-bloquer-les-navigateurs-ia-agentiques-pour-le-moment/đ source :
https://www.theregister.com/2025/12/08/gartner_recommends_ai_browser_ban/#Gartner #agents_autonomes #CyberveilleGartner recommande de bloquer les navigateurs IA agentiques pour le moment
Selon The Register (article de Simon Sharwood), un avis de Gartner intitulĂ© « Cybersecurity Must Block AI Browsers for Now » recommande aux organisations de bloquer, pour lâinstant, les navigateurs IA dits agentiques en raison de risques de sĂ©curitĂ© jugĂ©s excessifs.
Gartner définit ces navigateurs IA comme des outils tels que Perplexity Comet et OpenAI ChatGPT Atlas, combinant: 1) une barre latérale IA (résumé, recherche, traduction, interaction sur le contenu web via un service IA du fournisseur), et 2) une capacité transactionnelle agentique permettant au navigateur de naviguer et agir de façon autonome, y compris dans des sessions authentifiées.
IndonĂ©sie: une vaste infrastructure APT de jeux dâargent dĂ©tourne des milliers de domaines et propage des APK malveillants
Selon Malanta (Ă©quipe de recherche), dans une publication datĂ©e du 3 dĂ©cembre 2025, une opĂ©ration de type APT indonĂ©sienne, active depuis au moins 2011, alimente un Ă©cosystĂšme cybercriminel gĂ©ant mĂȘlant jeux dâargent illĂ©gaux, dĂ©tournement dâinfrastructures Web, distribution dâAPK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux.
LâĂ©tude met en Ă©vidence une infrastructure massive et persistante: 328âŻ039 domaines au total, dont 236âŻ433 dĂ©diĂ©s aux sites de jeux, 90âŻ125 domaines compromis et 1âŻ481 sousâdomaines dĂ©tournĂ©s. Lâacteur exploite le SEO, des domaines lookalikes (480 identifiĂ©s), et une automatisation avec gĂ©nĂ©ration de contenus (IA) pour la pĂ©rennitĂ© et lâĂ©chelle. Plus de 51âŻ000 identifiants volĂ©s liĂ©s Ă cet Ă©cosystĂšme ont Ă©tĂ© retrouvĂ©s sur des forums du dark web.
Ivanti corrige une faille critique XSS dans Endpoint Manager permettant lâexĂ©cution de code
Selon BleepingComputer, Ivanti alerte sur une vulnĂ©rabilitĂ© critique dans son produit Endpoint Manager (EPM), identifiĂ©e comme CVE-2025-10573, permettant Ă un attaquant non authentifiĂ© dâexĂ©cuter du JavaScript via une attaque XSS avec interaction minimale de lâutilisateur.
đš DĂ©tails de la faille: la vulnĂ©rabilitĂ© peut ĂȘtre exploitĂ©e par des acteurs distants et non authentifiĂ©s pour empoisonner le tableau de bord administrateur. DâaprĂšs le chercheur de Rapid7 Ryan Emmons (dĂ©couvreur de la faille en aoĂ»t), un attaquant pouvant accĂ©der au service web principal dâEPM peut enregistrer de faux endpoints gĂ©rĂ©s afin dâinjecter du JavaScript malveillant. Lorsque lâadministrateur EPM affiche un tableau de bord contaminĂ©, lâexĂ©cution de JavaScript cĂŽtĂ© client est dĂ©clenchĂ©e, permettant Ă lâattaquant de prendre le contrĂŽle de la session administrateur.
CyberVeille.ch