Windows-Exploits und DevilsEye-Spyware stehen im Zusammenhang mit der israelischen Firma Candiru

Spezialisten aus Microsoft und Bürgerlabor sprach über die DevilsEye-Spyware, die von der israelischen Firma Candiru . entwickelt wurde, und dann an Regierungen verschiedener Länder verkauft. DevilsEye mindestens erkannt 100 hochrangige Ziele auf den Systemen, während 0-Day-Schwachstellen in Browsern und Windows verwendet wurden, um sie zu infizieren.

Die Forscher sagen, dass das israelische Unternehmen Candiru hinter der Entwicklung von mindestens zwei Exploits für Zero-Day-Schwachstellen in Windows steckt, die verwendet wurden, um die bisher unbekannte DevilsEye-Spyware anzugreifen und einzusetzen. Diese Malware hat Politiker betroffen, Menschenrechtsverteidiger, Aktivisten, Journalisten, Akademiker, Botschaften und politische Dissidenten auf der ganzen Welt.

Es ist bekannt, dass Candiru (Microsoft nennt es den Codenamen Sourgum) wurde gegründet in 2014. Und obwohl seine Stellenangebote habe es schon lange klar gemacht dass sich das Unternehmen mit Cybersicherheitsproblemen beschäftigt, vorher wussten sie fast nichts über Candirus Aktivitäten. Jetzt, dank Berichten von Microsoft und Citizen Lab, Es ist klar, dass die Tools des Unternehmens seinen Kunden helfen, das iPhone zu infizieren und die Kontrolle darüber zu übernehmen, Android, Mac, PC, und Cloud-Konten.

Candiru ist ein geheimes israelisches Unternehmen, das ausschließlich Spyware an Regierungen verkauft.Citizen Lab sagte.

Diese Spyware wurde erstmals von Citizen Lab-Forschern entdeckt, als sie eine cyber-forensische Untersuchung eines Geräts durchführten, das einem unbenannten . gehörte “politischer Aktivist aus Westeuropa.” Durch das Teilen ihrer Ergebnisse mit Microsoft, Forscher konnten zumindest lokalisieren 100 andere DevilsEye-Opfer in Ländern wie Palästina, Israel, Iran, Libanon, Jemen, Spanien, das Vereinigte Königreich, Truthahn, Armenien, und Singapur.

DevilsEye verbreitete sich, indem es Opfer auf bösartige Websites lockte, die ein Exploit-Kit hosten, das verschiedene Browser-Schwachstellen missbraucht, um Malware auf Opfern zu installieren’ Geräte. Anschließend, in der zweiten Phase des Angriffs, ein Windows-Exploit wurde verwendet, um es Angreifern zu ermöglichen, ihre Berechtigungen auf Administratorebene zu erhöhen.Microsoft-Experten schreiben.

Die Forscher betonen, dass die Angriffskette komplex war und bis vor kurzem unbekannte Zero-Day-Schwachstellen ausgenutzt wurden: im Chrome-Browser (CVE-2021-21166 und CVE-2021-30551), im Internet Explorer (CVE-2021-33742), und zwei weitere unter Windows (CVE-2021-31979 und CVE-2021-33771). Zur Zeit, Hersteller haben all diese Probleme bereits behoben.

Die ersten drei Schwachstellen wurden bereits in a . erwähnt aktueller Bericht von Google, die auch Angriffe auf Schwachstellen in Chrome und IE mit einem unbenannten “kommerzielles Überwachungsunternehmen.” Google sagte, dass die Fehler an mindestens zwei Gruppen von verkauft wurden “Hacker der Regierung” die sie benutzt haben, um Ziele in Armenien anzugreifen. Jetzt hat Google seinen Bericht aktualisiert und verknüpft die Ausnutzung dieser Probleme auch mit dem israelischen Candiru.

DevilsTongue ermöglicht seinen Trägern, Opfer zu stehlen’ Dateien, Nachrichten von Signal auf Windows-Geräten entschlüsseln und stehlen, und stehlen Sie Cookies und gespeicherte Passwörter von Chrome, Internet Explorer, Feuerfuchs, Safari- und Opera-Browser.

DevilsTongue kann auch Cookies verwenden, die auf dem Computer des Opfers für Websites wie Facebook gespeichert sind, zwitschern, Google Mail, Yahoo, Mail.ru, Odnoklassniki und Vkontakte sammeln vertrauliche Informationen, Nachrichten lesen und Fotos extrahieren. Auf einigen der aufgeführten Websites, die Spyware kann sogar Nachrichten im Namen des Opfers an andere Personen senden. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.

Analysten von Citizen Lab sagen, dass die Hack-for-Hire-Fähigkeiten von Candiru bei weitem die Prognosen von Google- und Microsoft-Experten übertreffen. Laut Citizen Lab, mehr als 750 Es wurden bereits Domains entdeckt, die Candiru . gehostet haben, einschließlich großer Cluster in den Vereinigten Arabischen Emiraten und Saudi-Arabien, Dies deutet darauf hin, dass diese beiden Länder zu den größten Kunden des Unternehmens gehören.

Einige dieser Domänen haben sich als Menschenrechtsorganisationen wie Amnesty International maskiert, die Black Lives Matter-Bewegung, und Medienunternehmen, führende Experten zu dem Schluss, dass sich die Angriffe hauptsächlich gegen Aktivisten richteten.

Christine Goodwin, Microsofts Leiter für digitale Sicherheit, schreibt dass Unternehmen wie Candiru seit Jahren Cyber-Waffen an Angreifer liefern, und Regierungen in vielen Ländern setzen diese Hacking-Tools gegen Mitglieder der Zivilgesellschaft ein, Kriminelle nicht aufspüren. Goodwin fordert den Kampf gegen solche Unternehmen, deren Produkte aktiv zur Verletzung von Menschenrechten eingesetzt werden.

Eine Welt, in der privatwirtschaftliche Unternehmen Cyberwaffen herstellen und verkaufen, wird für Verbraucher immer gefährlicher, Unternehmen jeder Größe, und sogar Regierungen.Goodwin schreibt.

Das kannst du auch hier lesen BIOPASS-Malware verwendet die Streaming-Software OBS Studio um Opferbildschirme aufzuzeichnen und So entfernen Sie Spyware Terminator Fake System Optimizer?

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"