CyberVeille.ch17h ago

📢 Abus massif de Keitaro par des cybercriminels pour distribuer malwares, phishing et scams
📝 ## 🔍 Contexte

Publié le 26 mars 2026 par Infoblox Threat Intel en co...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-abus-massif-de-keitaro-par-des-cybercriminels-pour-distribuer-malwares-phishing-et-scams/
🌐 source : https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/
#Cloakilio #DonutLoader #Cyberveille

Abus massif de Keitaro par des cybercriminels pour distribuer malwares, phishing et scams

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions.

CyberVeille
CyberVeille.chMar 8
📢 Velvet Tempest exploite ClickFix et des utilitaires Windows pour déployer DonutLoader et CastleRAT
📝 Selon BleepingComputer, des acteurs de la menace liés au r...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-velvet-tempest-exploite-clickfix-et-des-utilitaires-windows-pour-deployer-donutloader-et-castlerat/
🌐 source : https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/
#ClickFix #DonutLoader #Cyberveille
Velvet Tempest exploite ClickFix et des utilitaires Windows pour déployer DonutLoader et CastleRAT

Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT. Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT Contexte Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT.

CyberVeille
ANY.RUNFeb 24

⚠️ #DonutLoader converts EXEs, DLLs, and .NET assemblies into in-memory shellcode, patches AMSI mid-flight, and delivers #ransomware before your AV sees a thing.

🚩 Finance, Gov't, Health, Legal are core targets. Here's how to defend: https://any.run/malware-trends/DonutLoader/?utm_source=mastodon&utm_medium=post&utm_campaign=donutloader&utm_term=230226&utm_content=linktomtt

#cybersecurity #infosec

BradDec 23

2025-12-23 (Tuesday): Based on yesterday's Jamf article, I downloaded the fake installer for #MacSyncStealer from zkcall[.]net and ran it on a macOS host in my lab.

A #pcap of the #MacSync #Stealer traffic, the associated IOCs, the #malware sample, and a link to the Jamf article are at www.malware-traffic-analysis.net/2025/12/23/index.html

Of note, the zkcall[.]net download page also has a link for a Windows download. The downloaded EXE file appears to be #DonutLoader, based on one of the follow-up EXE files it retrieved and ran: https://app.any.run/tasks/afd3ae74-2976-492b-a3c0-6e19e9127f68