Los exploits de Windows y el software espía DevilsEye están asociados con la empresa israelí Candiru

Especialistas de microsoft y Laboratorio ciudadano habló sobre el software espía DevilsEye, que fue desarrollado por la empresa israelí Candiru, y luego vendido a gobiernos de diferentes países. DevilsEye detectó al menos 100 objetivos de alto rango en los sistemas, mientras que las vulnerabilidades de día 0 en los navegadores y Windows se utilizaron para infectarlos.

Los investigadores dicen que la compañía israelí Candiru está detrás del desarrollo de al menos dos exploits para vulnerabilidades de día cero en Windows que se han utilizado para atacar e implementar el software espía DevilsEye, previamente desconocido.. Este malware ha afectado a los políticos, defensores de derechos humanos, activistas, periodistas, académica, embajadas y disidentes políticos de todo el mundo.

Se sabe que Candiru (Microsoft lo llama el nombre en clave Sourgum) fue fundado en 2014. Y aunque sus vacantes lo he dejado claro durante mucho tiempo que la empresa se ocupa de cuestiones de ciberseguridad, anteriormente no sabían casi nada sobre las actividades de Candiru. Ahora, gracias a los informes de Microsoft y Citizen Lab, está claro que las herramientas de la empresa están ayudando a sus clientes a infectar y tomar el control del iPhone, Androide, Mac, ordenador personal, y cuentas en la nube.

Este software espía fue detectado por primera vez por los investigadores de Citizen Lab cuando estaban realizando un examen forense cibernético de un dispositivo perteneciente a un “activista político de Europa Occidental.” Compartiendo sus hallazgos con Microsoft, los investigadores pudieron localizar al menos 100 otras víctimas de DevilsEye en países como Palestina, Israel, Iran, Líbano, Yemen, España, el Reino Unido, pavo, Armenia, y Singapur.

Los investigadores enfatizan que la cadena de ataques era compleja y explotada hasta hace poco por vulnerabilidades de día cero desconocidas.: en el navegador Chrome (CVE-2021-21166 y CVE-2021-30551), en Internet Explorer (CVE-2021-33742), y dos más en Windows (CVE-2021-31979 y CVE-2021-33771). En la actualidad, los fabricantes ya han solucionado todos estos problemas.

Las tres primeras vulnerabilidades ya se mencionaron en un informe reciente de Google, que también vinculó los ataques a las vulnerabilidades en Chrome e IE con un “empresa de vigilancia comercial.” Google dijo que los errores se vendieron a al menos dos grupos de “hackers del gobierno” que los usó para atacar objetivos en Armenia. Ahora Google ha actualizado su informe y también vincula la explotación de estos problemas con Candiru israelí..

DevilsTongue permite a sus portadores robar víctimas’ archivos, descifrar y robar mensajes de Signal en dispositivos Windows, y robar cookies y contraseñas guardadas de Chrome, explorador de Internet, Firefox, Navegadores Safari y Opera.

DevilsTongue también puede usar cookies almacenadas en la computadora de la víctima para sitios como Facebook, Gorjeo, Gmail, Yahoo, Mail.ru, Odnoklassniki y Vkontakte para recopilar información confidencial, leer mensajes y extraer fotos. En algunos de los sitios enumerados, el software espía puede incluso enviar mensajes en nombre de la víctima a otras personas. Algunas de las herramientas anti-spyware puede prevenir tal comportamiento, pero detenerlo requiere esfuerzos adicionales.

Los analistas de Citizen Lab afirman que las capacidades de pirateo para alquiler de Candiru superan con creces lo que predijeron los expertos de Google y Microsoft.. Según Citizen Lab, mas que 750 ya se han descubierto dominios que alojaban Candiru, incluidos grandes grupos en los Emiratos Árabes Unidos y Arabia Saudita, sugiriendo que estos dos países son algunos de los clientes más importantes de la empresa.

Algunos de estos dominios se han enmascarado como organizaciones de derechos humanos como Amnistía Internacional., el movimiento Black Lives Matter, y empresas de medios, lo que lleva a los expertos a concluir que los ataques fueron principalmente dirigidos contra activistas.

Christine Goodwin, Jefe de seguridad digital de Microsoft, escribe que empresas como Candiru han estado suministrando armas cibernéticas a los atacantes durante años, y los gobiernos de muchos países utilizan estas herramientas de piratería contra miembros de la sociedad civil, no rastrear criminales. Goodwin pide la lucha contra este tipo de empresas, cuyos productos se utilizan activamente para violar los derechos humanos.

También puedes leer aquí que El malware BIOPASS utiliza el software de transmisión OBS Studio para grabar las pantallas de las víctimas y Cómo deshacerse del optimizador de sistema falso de Spyware Terminator?