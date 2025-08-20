Des chercheurs de Kaspersky et BI.ZONE ont dévoilé une campagne d'attaque particulièrement sournoise. Une vulnérabilité de sécurité dans Microsoft Windows, référencée comme CVE-2025-29824, est actuellement exploitée par des cybercriminels.

La situation est critique car cette faille, affectant le système de fichiers journal commun (CLFS) de Windows, avait déjà été rectifiée par Microsoft en avril 2025. Malgré tout, des systèmes qui ne sont pas à jour dans les modules de sécurité demeurent des cibles privilégiées pour l'installation du redoutable logiciel malveillant PipeMagic, précurseur d'attaques par ransomware.

PipeMagic : un logiciel malveillant modulaire et discret utilisé dans le cadre des ransomwares.

PipeMagic n'est pas une nouveauté dans le paysage de la cybercriminalité. Identifié depuis 2022 dans des offensives RansomExx visant des sociétés industrielles en Asie du Sud-Est, il fonctionne comme une véritable porte dérobée, permettant un accès à distance et la possibilité de réaliser diverses commandes sur les hôtes affectés.

Quelle est sa spécificité ? Il crée un canal secret aléatoire pour la communication, une approche discrète pour transmettre des charges utiles chiffrées. Microsoft a d'attribué l'exploitation de cette vulnérabilité et le déploiement de PipeMagic à ce groupe, qu'il identifie sous le nom de Storm-2460. Ce logiciel malveillant modulaire est d'une sophistication remarquable, capable de télécharger des éléments supplémentaires à partir de domaines hébergés sur le cloud Microsoft Azure. Il se camoufle parfois en fichiers d'assistance ou même en fausses applications ChatGPT pour induire les utilisateurs en erreur.

L'importance primordiale des actualisations de sécurité Windows.

Cette attaque met en évidence, de manière pressante, l'importance primordiale d'appliquer les mises à jour de sécurité dès leur disponibilité.

Malgré la correction de la vulnérabilité CVE-2025-29824, elle demeure une faille pour les systèmes qui n'ont pas mis en œuvre le correctif d'avril.

Une fois qu'ils ont pénétré, les assaillants peuvent accéder à des privilèges supérieurs sur l'appareil, ce qui conduit au déploiement de ransomwares tels que RansomExx, qui encryptent les informations et réclament une rançon.

Les dernières versions de PipeMagic affichent des progrès continus, ayant pour objectif de garantir une persistance sur les systèmes contaminés et d'effectuer des déplacements latéraux à l'intérieur des réseaux internes. Les assauts de Storm-2460 affectent plusieurs domaines (technologie de l'information, finance, immobilier) et zones géographiques (États-Unis, Europe, Amérique du Sud, Moyen-Orient), témoignant de la portée de la menace.

Comment assurer la protection de votre système face à ces menaces élaborées ?

Devant la continuité et le développement de menaces telles que PipeMagic, il est essentiel de rester vigilant.

La première mesure de protection est l'application sans délai des mises à jour de sécurité Windows. Ne sous-estimez jamais ces mises à jour de sécurité, car elles colmatent les brèches utilisées par les cybercriminels. Outre les mises à jour, restez très attentif aux tentatives de phishing par courrier électronique et aux applications suspectes, même si elles semblent émaner de sources dignes de confiance telles que ChatGPT. Les assaillants emploient des stratégies de tromperie de plus en plus sophistiquées, telles que le piratage de DLL pour masquer un fichier malveillant en tant que mise à jour de Google Chrome. Pour prévenir ces attaques et sauvegarder vos informations délicates, il est crucial d'avoir recours à une solution de sécurité solide et de former les utilisateurs sur les dangers potentiels.

Questions Fréquemment Posées (FAQ)

De quoi s'agit-il exactement avec la vulnérabilité CVE-2025-29824 ?

Il s'agit d'une faille d'escalade de privilèges dans le Common Log File System (CLFS) de Microsoft Windows. Elle offre à un intrus déjà présent sur un système la possibilité d'acquérir un contrôle intégral sur l'appareil.

Quelle est la méthode courante de déploiement du logiciel malveillant PipeMagic ?

PipeMagic est fréquemment mis en œuvre suite à l'exploitation d'une faille Windows, mais il a également été remarqué qu'il se présente comme une application légitime, telle qu'une imitation de ChatGPT, dans le but de persuader les utilisateurs à son installation.

Que savez-vous sur le ransomware RansomExx ?

Le ransomware RansomExx a fait son apparition aux alentours de 2018. Les cybercriminels l’utilisent pour crypter les informations sur les ordinateurs de leurs victimes et demander une rançon pour leur décryptage. Il est parfois lié à des attaques de double rançon.