,

De faux sites antivirus diffusent le malware Venom RAT pour voler des portefeuilles crypto

Une nouvelle campagne d’usurpation d’identité ciblée sur les utilisateurs de Bitdefender

Des chercheurs en cybersécurité ont découvert une campagne malveillante sophistiquée dans laquelle des cybercriminels ont cloné un site officiel de l’éditeur antivirus Bitdefender pour inciter les internautes à télécharger un cheval de Troie d’accès à distance connu sous le nom de Venom RAT.

Selon le rapport du DomainTools Intelligence (DTI), cette opération malveillante démontre une volonté claire de compromettre les identifiants des victimes, d’accéder à leurs portefeuilles de cryptomonnaies et de revendre potentiellement l’accès à leurs systèmes.

Un site frauduleux qui mime Bitdefender pour distribuer un logiciel malveillant

Le faux site, hébergé à l’adresse bitdefender-download[.]com, imite fidèlement l’apparence du site officiel de Bitdefender. Il invite les visiteurs à télécharger une version Windows de l’antivirus. En cliquant sur le bouton “Download for Windows”, l’utilisateur télécharge un fichier depuis un dépôt Bitbucket redirigeant vers un espace Amazon S3. Le dépôt Bitbucket a, depuis, été désactivé.

Le fichier compressé, intitulé BitDefender.zip, contient un exécutable malveillant StoreInstaller.exe. Ce dernier embarque plusieurs charges utiles, notamment :

  • Le cheval de Troie Venom RAT

  • Le framework open-source de post-exploitation SilentTrinity

  • Le stealer StormKitty, utilisé pour voler des identifiants et des données sensibles

Qu’est-ce que Venom RAT ?

Venom RAT est une variante avancée de Quasar RAT. Il permet à l’attaquant de maintenir un accès persistant à distance sur le système de la victime, d’exfiltrer des données confidentielles et d’exécuter des commandes à distance.

DomainTools précise que le faux site partage des similarités techniques et temporelles avec d’autres campagnes de phishing ciblant des institutions financières comme la Banque Royale du Canada ou des services IT de confiance comme Microsoft. Ces opérations cherchent à récolter des identifiants en exploitant la notoriété de grandes marques.

Une attaque modulaire et difficile à détecter

L’un des aspects notables de cette campagne est l’usage d’outils open-source imbriqués. Venom RAT infiltre discrètement le système, StormKitty collecte les données sensibles (mots de passe, portefeuilles crypto), et SilentTrinity permet à l’attaquant de garder un contrôle durable sans être détecté.

Cette approche modulaire rend les attaques plus efficaces, adaptables et difficiles à repérer par les solutions de sécurité traditionnelles.

D’autres campagnes similaires détectées

Cette découverte intervient peu après une alerte de Sucuri sur une campagne “ClickFix” utilisant de faux écrans Google Meet. Ces pages frauduleuses incitent les utilisateurs à exécuter une commande PowerShell, leur promettant une correction d’un prétendu problème de microphone.

Par ailleurs, une autre campagne d’hameçonnage sophistiquée exploitant la plateforme AppSheet de Google a été signalée. Celle-ci vise à contourner les mécanismes de sécurité des emails (SPF, DKIM, DMARC) en envoyant des messages depuis un domaine valide, noreply@appsheet[.]com, dans le but d’usurper l’identité de Meta (Facebook). Les liens piégés redirigent vers des pages de type adversary-in-the-middle (AitM), capables de voler identifiants et codes 2FA en temps réel.

Conclusion : rester vigilant face aux campagnes de phishing avancées

Cette série de campagnes démontre la sophistication croissante des menaces en ligne. En s’appuyant sur des outils open-source et en exploitant la confiance des utilisateurs envers des marques établies, les cybercriminels redoublent d’ingéniosité.

Pour se protéger, il est essentiel :

  • De vérifier l’authenticité des sites visités

  • De ne jamais télécharger d’application en dehors des sources officielles

  • D’utiliser des solutions de sécurité à jour

  • De renforcer la sensibilisation des utilisateurs aux techniques de phishing

La vigilance collective et la mise en œuvre de bonnes pratiques de cybersécurité restent les meilleurs remparts face à ces attaques ciblées.

Tags

What do you think?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Related articles
Cloud Hosting, News

Erreur 500 Généralisée : Cloudflare Paralyse une Partie du Web Mondial

Le vendredi 5 décembre 2025, Internet a connu l’une de ses perturbations majeures de l’année. Une panne massive de Cloudflare a paralysé de nombreux services mondiaux, provoquant l’affichage du redouté message « 500 Internal Server Error » sur des milliers de sites web. LinkedIn, Notion, DeepL, Zoom, Shopify et bien d’autres plateformes se sont retrouvées inaccessibles pendant plusieurs minutes, affectant des millions d’utilisateurs à travers le monde. Qu’est-ce qui s’est passé ? Cloudflare, géant américain spécialisé dans les réseaux de diffusion de contenu (CDN) et la sécurité des infrastructures internet, a subi une interruption de service importante en début de matinée. L’entreprise agit comme un intermédiaire technique essentiel entre les serveurs des sites web et les internautes. Lorsque ses systèmes connaissent des difficultés, les répercussions sont instantanées sur des milliers de plateformes clientes qui dépendent de son infrastructure. L’incident a été signalé pour la première fois à 8h56 UTC, lorsque Cloudflare a reconnu des problèmes avec son tableau de bord (Dashboard) et ses API associées. Les clients utilisant ces services ont été impactés, les requêtes échouant ou affichant des messages d’erreur. Des milliers d’utilisateurs ont rapporté un schéma identique : des sites web qui se chargent habituellement instantanément tombaient soudainement en panne, affichant le fameux code d’erreur 500. Une erreur 500 « Internal Server Error » indique généralement qu’un serveur est incapable de traiter une requête en raison d’un problème temporaire côté serveur. Lorsqu’un fournisseur d’infrastructure comme Cloudflare rencontre une perturbation, ces types d’erreurs apparaissent simultanément sur plusieurs plateformes apparemment sans rapport, mais toutes dépendantes de la même infrastructure sous-jacente. Le Lien avec une Maintenance Planifiée Selon les premières observations techniques, l’origine de cet incident serait liée à une opération de maintenance planifiée par Cloudflare. Avant de tomber complètement, la page de statut de Cloudflare affichait des messages de maintenance prévue dans la matinée du 5 décembre. L’entreprise avait programmé des opérations de maintenance dans plusieurs centres de données, notamment à Detroit (DTW), Chicago (ORD) et Minneapolis (MSP) pendant les heures du matin. Cette situation rappelle un adage bien connu dans le monde de l’informatique : même les opérations de maintenance les mieux planifiées peuvent parfois mal tourner. Ce qui devait être une simple mise à jour ou modification de configuration s’est transformé en une panne globale affectant une partie significative du trafic web mondial. Un Impact Global et Diversifié L’étendue des services touchés illustre parfaitement la position centrale qu’occupe Cloudflare dans l’architecture du web moderne. Les perturbations ont affecté des secteurs extrêmement variés, démontrant à quel point l’économie numérique mondiale dépend de quelques acteurs d’infrastructure clés. Outils de Productivité et Intelligence Artificielle Les applications professionnelles ont été particulièrement touchées. Notion, l’outil de gestion de projet et de documentation prisé par des millions d’entreprises, s’est retrouvé inaccessible. Microsoft Copilot, l’assistant IA intégré aux outils Microsoft, a également connu des interruptions. DeepL, le service de traduction automatique réputé pour sa qualité, n’était plus disponible, tout comme Perplexity, le moteur de recherche assisté par IA. Ces interruptions ont eu un impact direct sur la productivité de nombreuses entreprises à travers le monde. Les équipes travaillant sur des projets collaboratifs via Notion se sont retrouvées dans l’impossibilité d’accéder à leurs documents. Les professionnels utilisant DeepL pour leurs communications internationales ont dû trouver des alternatives en urgence. Plateformes de Communication Zoom, devenu incontournable pour les réunions virtuelles depuis la pandémie, a connu des problèmes de connexion importants. Les utilisateurs tentant de rejoindre des réunions se heurtaient à des erreurs ou à des timeouts. LinkedIn, le réseau social professionnel comptant des centaines de millions de membres, était également hors service, perturbant les activités de recrutement et de réseautage professionnel. Commerce Électronique Le secteur du e-commerce a été durement frappé. Les boutiques Shopify, qui représentent des millions de commerces en ligne à travers le monde, ont connu des défaillances majeures. Les clients tentant de parcourir les produits ou de finaliser leurs achats se heurtaient à des messages d’erreur 500. Pour les commerçants en ligne, particulièrement pendant la période cruciale précédant les fêtes de fin d’année, ces interruptions représentent des pertes financières directes et un impact potentiel sur la réputation. Les pages de paiement étaient particulièrement affectées, laissant des transactions en suspens et des paniers d’achat abandonnés. Chaque minute d’indisponibilité se traduit par des ventes perdues et des clients frustrés. Design, Contenu et Services Grand Public Canva, la plateforme de design graphique utilisée par des millions de créateurs et de marketeurs, était inaccessible. Medium, la plateforme de publication de contenu, affichait des pages d’erreur. Dealabs, le site communautaire français de partage de bons plans, ne répondait plus. Les services liés aux montres connectées Garmin rencontraient également des erreurs de connexion. Services Critiques Plus problématique encore, Doctolib, la plateforme française de prise de rendez-vous médicaux utilisée par des millions de patients et de professionnels de santé, figurait parmi les services impactés. Cette interruption a pu retarder des prises de rendez-vous médicaux urgents et perturber le fonctionnement des cabinets médicaux qui dépendent de cette plateforme pour gérer leurs consultations. Plusieurs institutions bancaires ont également vu leurs sites web perturbés, empêchant temporairement leurs clients d’accéder à leurs services de banque en ligne. Un Paradoxe Révélateur Fait rare et particulièrement révélateur de l’ampleur de l’incident : DownDetector, le site de référence habituel pour le signalement des pannes en temps réel, était lui-même victime de l’interruption de service. Utilisant vraisemblablement les services de Cloudflare pour sa propre protection et distribution, l’outil de monitoring s’est retrouvé dans l’incapacité d’informer ses utilisateurs. Face à cette situation paradoxale, les internautes et les administrateurs système ont dû se tourner vers des solutions alternatives moins dépendantes de l’infrastructure défaillante, telles que « Down for everyone or just me » ou les réseaux sociaux pour confirmer que les problèmes étaient généralisés et non isolés. Une Résolution Rapide Cloudflare a réagi rapidement à la situation. Après avoir reconnu le problème à 8h56 UTC, l’entreprise a annoncé avoir implémenté un correctif à 9h12 UTC. L’incident a été officiellement marqué comme résolu à 9h20 UTC, soit environ 24 minutes après sa première détection publique. Bloomberg a

Read more
Cybersecurity, News

Nucleon Security lève 3 millions d’euros pour renforcer la cybersécurité en Afrique

Une levée de fonds stratégique Nucleon Security, entreprise spécialisée dans la cybersécurité basée en Afrique, a récemment finalisé une levée de fonds de 3 millions d’euros. Ce financement, soutenu par un consortium d’investisseurs africains et internationaux — dont le groupe Axian — aura pour objectif d’accélérer le déploiement et l’industrialisation de technologies innovantes dans la région. APAnews – Agence de Presse Africaine Objectifs et ambitions Avec ce capital frais, Nucleon Security prévoit notamment de : Développer ses plateformes avancées de sécurité, particulièrement dans les domaines du Zero Trust et des systèmes d’IA agentielle (agentic AI), qui permettent une surveillance proactive, une réponse automatisée aux menaces et une adaptation continue. APAnews – Agence de Presse Africaine Étendre son ancrage territorial à plusieurs pays africains — notamment le Maroc, la Tunisie, le Bénin, le Togo, la Côte d’Ivoire et Madagascar — afin de mieux répondre aux vulnérabilités spécifiques des infrastructures locales. APAnews – Agence de Presse Africaine Servir davantage de clients : aujourd’hui déjà plus de 100 organisations utilisent les solutions de Nucleon. Le financement doit permettre d’augmenter cette base et d’offrir des services de cybersécurité plus robustes, évolutifs et adaptés aux réalités africaines. APAnews – Agence de Presse Africaine Contexte : un besoin criant de sécurité numérique Les cyberattaques en Afrique connaissent une croissance rapide, dans les secteurs public, privé et infrastructures critiques. Le coût global de la cybercriminalité à l’échelle mondiale pourrait atteindre 10,5 billions de dollars d’ici la fin de 2025 selon Cybersecurity Ventures. Cela montre l’ampleur des enjeux que les entreprises comme Nucleon cherchent à adresser. APAnews – Agence de Presse Africaine Le soutien du groupe Axian, acteur régional, souligne une tendance importante : les investisseurs africains s’impliquent de plus en plus dans les technologies de sécurité locale, reconnaissant à la fois la vulnérabilité des systèmes existants et le potentiel de marché. APAnews – Agence de Presse Africaine Pourquoi c’est significatif Indépendance technologique & souveraineté numériqueLe renforcement de capacités locales est essentiel pour réduire la dépendance aux fournisseurs étrangers et pour mieux répondre aux besoins spécifiques d’Afrique (réglementations, langues, infrastructures, contextes de connectivité). Réactivité face à des menaces spécifiquesLes solutions Zero Trust et IA proactive permettent de détecter, réagir et neutraliser des attaques avant qu’elles ne causent des dommages majeurs. Effet démultiplicateurEn se développant dans plusieurs pays, Nucleon peut favoriser le partage de bonnes pratiques, la mutualisation de ressources (formations, pools de talents, normes de sécurité), ce qui profite à l’ensemble de l’écosystème. Recommandations & pistes d’actions Pour les organisations, autorités et investisseurs intéressés par cette dynamique, voici quelques idées à considérer : Renforcer les politiques publiques : encourager les gouvernements à adopter des cadres réglementaires (cyberlois, normes, exigences de conformité) qui favorisent les acteurs locaux. Investir dans la formation : préparer une main-d’œuvre qualifiée en cybersécurité (analystes SOC, ingénieurs de red team, etc.), afin que la croissance technologique soit soutenable. Promouvoir la recherche locale : soutenir les partenariats entre entreprises, universités et laboratoires pour développer des solutions adaptées aux réalités africaines. Adopter une approche “cyber-résilience” : ne pas seulement se protéger contre les attaques, mais préparer la détection, la réponse et la récupération. Conclusion Cette levée de fonds de 3 millions d’euros par Nucleon Security représente plus qu’un simple investissement : c’est un signal fort. Cela montre que la cybersécurité africaine évolue, que l’on prend conscience de ses enjeux, et que des acteurs locaux montent en puissance. En soutenant des technologies comme le Zero Trust et l’IA proactive, Nucleon se positionne pour offrir des défenses adaptées, réactives, et étendues dans toute l’Afrique, et pour participer à la construction d’un écosystème numérique plus sûr et plus souverain.

Read more
Cybersecurity, News

Une campagne de redirections multi-niveaux exploitant des sites web compromis identifiée par des experts

Juillet 2025 – Une nouvelle campagne de cyberattaque sophistiquée a été mise au jour par les chercheurs en cybersécurité de Sekoia et Trend Micro. Cette opération, en apparence discrète, exploite des sites web compromis pour rediriger les internautes vers des serveurs malveillants, à travers une chaîne complexe de redirections multi-niveaux. Plutôt que de se reposer sur une attaque directe, les cybercriminels misent ici sur une approche furtive et conditionnelle, ciblant uniquement les utilisateurs qui répondent à certains critères, afin d’éviter la détection par les systèmes de sécurité et les chercheurs. Une architecture d’infection en plusieurs couches La particularité de cette campagne réside dans sa structure en couches, qui permet de masquer le but final jusqu’au dernier moment. Le schéma d’attaque suit généralement les étapes suivantes : Infection initiale via site compromisL’utilisateur visite un site web légitime, souvent basé sur WordPress, qui a été compromis par les attaquants. Redirections multiples via des scripts obfusquésLe site initial déclenche une série de redirections via du JavaScript obscurci, souvent vers plusieurs domaines relais contrôlés par les attaquants. Filtrage comportemental et environnementalAvant de livrer la charge utile, le système analyse le profil de la victime (géolocalisation, système d’exploitation, signatures de sandbox, outils d’analyse, etc.). Déclenchement conditionnel du malwareSi l’environnement est jugé « légitime » (non-analytique, non-automatisé), l’utilisateur est redirigé vers une page contenant soit un malware, soit du phishing. Une exploitation massive des sites WordPress vulnérables Les attaquants ont ciblé en priorité des sites WordPress mal sécurisés. Ces derniers sont utilisés comme : Relais de redirection : des scripts injectés dans les pages redirigent l’utilisateur vers un second domaine contrôlé par les attaquants. Stockage de scripts malveillants : certains sites servent directement des charges utiles déguisées (ex. : fichiers JS, ZIP, EXE, extensions de navigateur). Serveurs de commandes temporaires : les domaines changent régulièrement pour échapper aux listes de blocage. Les chercheurs notent que le nombre de sites compromis est élevé, avec une infrastructure en constante évolution pour maintenir la pérennité de l’attaque. Un ciblage intelligent basé sur des critères contextuels L’un des éléments les plus pernicieux de cette campagne est sa capacité à filtrer les cibles avant de livrer son contenu malveillant. Parmi les critères utilisés : Adresse IP et localisation géographiquePour éviter certains pays ou services de renseignement. Empreintes de navigateur et système d’exploitationPour adapter la charge utile au système ciblé (Windows, macOS, Android, etc.). Présence d’outils de surveillance ou de sandboxPour éviter d’être analysé dans un environnement virtuel. Historique de navigation ou cookiesPour déterminer si la cible est un utilisateur légitime ou un chercheur en sécurité. Ce filtrage rend la détection extrêmement difficile, car la charge malveillante n’apparaît que dans des conditions très spécifiques. Objectifs finaux : phishing, malwares, vols de données Selon les analyses, les redirections aboutissent principalement à deux types de contenus : Pages de phishing personnaliséesDéguisées en fausses pages de connexion (Google, Microsoft, Apple, etc.) ou en portails bancaires. Téléchargements malveillants Faux installeurs d’outils populaires (ex. : VLC, Adobe, Zoom) Extensions de navigateur corrompues Fichiers ZIP ou EXE contenant des chevaux de Troie (trojans), stealers ou ransomware Dans certains cas, les chercheurs ont également observé des malwares de type infostealer, conçus pour siphonner les informations d’identification et les données bancaires, ou encore des loaders servant à installer d’autres malwares à distance. Évasion active et renouvellement constant des domaines Les cybercriminels derrière cette opération démontrent une stratégie d’évasion avancée : Changement fréquent des noms de domaine utilisés dans les redirections Utilisation de services de CDN et d’obfuscation de DNS Hébergement des scripts sur des services cloud temporaires Injection dynamique de scripts via des plugins vulnérables Ces techniques permettent de prolonger la durée de vie de la campagne et de rendre son démantèlement plus complexe pour les équipes de réponse à incident. Recommandations pour les entreprises et les webmasters Face à cette menace, les experts recommandent une vigilance accrue, notamment sur les plateformes web exposées. Voici quelques bonnes pratiques : Mettre à jour régulièrement WordPress et ses extensions Surveiller les modifications de fichiers système ou de thèmes Mettre en place une détection comportementale côté serveur Utiliser des solutions EDR/NGAV dotées d’analyse heuristique Bloquer les redirections suspectes au niveau du proxy ou DNS Mettre en quarantaine automatiquement les URL issues de sites compromis connus Conclusion : une campagne symptomatique de l’évolution des menaces web Cette campagne de redirections multi-niveaux marque une nouvelle étape dans la sophistication des attaques par le web. En combinant des techniques de compromission de sites légitimes, de filtrage conditionnel et de diffusion ciblée de malware, les cybercriminels parviennent à contourner les barrières classiques de sécurité. Elle met en lumière plusieurs enjeux : La nécessité de renforcer la sécurité des CMS open source largement utilisés Le besoin d’une détection basée sur le comportement, et non uniquement sur des signatures L’importance de surveiller en permanence les flux web, même lorsqu’ils semblent provenir de domaines « sûrs » Enfin, cette attaque illustre le fait que la confiance dans les sites légitimes ne suffit plus. Dans un contexte de menaces évolutives, la sécurité web doit être abordée de manière globale, dynamique et proactive.

Read more
Nous contacter

Collaborez avec nous pour sécuriser et optimiser vos solutions IT !

Nous serons ravis de répondre à vos questions et de vous aider à choisir les services adaptés à vos besoins.

Nos avantages
  • Orienté client
  • Expert
  • Réactif
  • Axé sur les résultats
  • Fiable
  • Transparent
Quelle est la prochaine étape ?
1

Nous planifions un appel selon votre disponibilité

2

Nous organisons une réunion d’analyse et de conseil

3

Nous préparons une proposition

Vos informations