Infinity Stealer cible macOS via ClickFix, cellules dormantes BPFDoor de Red Menshen dans les télécoms, directeur du FBI Patel piraté, admin RedLine extradé, correctifs TP-Link et BIND
Infinity Stealer utilise des leurres ClickFix et du Python compilé avec Nuitka pour voler les identifiants macOS. Red Menshen implante des rootkits BPFDoor au niveau du noyau dans les réseaux télécoms. Un groupe pro-iranien revendique le piratage du directeur du FBI Patel. L'administrateur de RedLine extradé vers les États-Unis. TP-Link et BIND publient des correctifs de haute sévérité.
1. Infinity Stealer — Nouveau malware macOS utilisant ClickFix et la compilation Nuitka
Les chercheurs de Malwarebytes ont documenté Infinity Stealer, un nouveau malware voleur d'informations ciblant macOS via des leurres ClickFix et un payload Python compilé avec Nuitka — une première pour les campagnes de malware macOS.
La chaîne d'attaque
- Étape 1 : Un faux CAPTCHA Cloudflare sur
update-check[.]compousse les victimes à coller une commandecurlencodée en base64 dans le Terminal macOS - Étape 2 : Un binaire Mach-O de 8,6 Mo contenant une archive zstd de 35 Mo décompresse le payload final
- Étape 3 : Infinity Stealer vole les identifiants Chromium/Firefox, le trousseau macOS, les portefeuilles crypto et les fichiers
.env
Nuitka compile Python en code C natif, rendant l'analyse statique considérablement plus difficile. Les données volées sont exfiltrées via HTTP POST avec notifications Telegram.
⚠️ Action requise
Les utilisateurs macOS ne doivent jamais coller de commandes Terminal provenant de sites non fiables.
2. Red Menshen implante des cellules dormantes BPFDoor dans les réseaux télécoms
Rapid7 Labs révèle comment Red Menshen (Earth Bluecrow) a implanté des rootkits BPFDoor au niveau du noyau dans les réseaux de télécommunications au Moyen-Orient et en Asie.
- Inspection du trafic au niveau kernel : Exploite le Berkeley Packet Filter pour inspecter le trafic directement dans le noyau Linux
- Activation par paquet magique : Reste totalement dormant jusqu'à réception d'un paquet spécifique
- Invisible aux scans de ports et à la plupart des outils de détection
3. Un groupe pro-iranien revendique le piratage du compte personnel du directeur du FBI Patel
Un groupe de hackers pro-iranien revendique la compromission du compte personnel du directeur du FBI Kash Patel, proposant les emails et documents au téléchargement.
🔶 Cible de haut profil
Les acteurs étatiques ciblent les comptes personnels des hauts responsables car ils manquent souvent des contrôles de sécurité des systèmes gouvernementaux.
4. La violation de données Hightower Holding touche 130 000 personnes
Hightower Holding a divulgué une violation affectant environ 130 000 personnes — noms, numéros de sécurité sociale et numéros de permis de conduire volés.
5. L'administrateur présumé de RedLine extradé vers les États-Unis
Hambardzum Minasyan d'Arménie a été extradé vers les États-Unis pour son rôle dans le développement du malware RedLine, l'un des infostealers les plus prolifiques. L'extradition fait suite à l'Opération Magnus de 2024.
6. TP-Link corrige des vulnérabilités critiques dans ses routeurs
TP-Link a publié des correctifs pour des vulnérabilités permettant le contournement d'authentification, l'exécution de commandes arbitraires et le déchiffrement des fichiers de configuration.
⚠️ Corriger maintenant
Les organisations utilisant des routeurs TP-Link doivent prioriser ces mises à jour firmware.
7. Les mises à jour BIND corrigent des vulnérabilités de fuite mémoire
L'ISC a publié des mises à jour pour le serveur DNS BIND corrigeant des vulnérabilités qui permettent de provoquer des fuites mémoire via des requêtes DNS spécialement conçues.