Les exploits Windows et les logiciels espions DevilsEye sont associés à la société israélienne Candiru

Des spécialistes de Microsoft et Laboratoire Citoyen a parlé du logiciel espion DevilsEye, qui a été développé par la société israélienne Candiru, puis vendu aux gouvernements de différents pays. DevilsEye détecté au moins 100 cibles de haut rang sur les systèmes, tandis que les vulnérabilités 0-day dans les navigateurs et Windows ont été utilisées pour les infecter.

Les chercheurs affirment que la société israélienne Candiru est à l'origine du développement d'au moins deux exploits pour les vulnérabilités zero-day dans Windows qui ont été utilisés pour attaquer et déployer le logiciel espion DevilsEye jusqu'alors inconnu.. Ce malware a affecté les politiciens, défenseurs des droits de l'homme, militants, journalistes, universitaires, ambassades et dissidents politiques dans le monde.

On sait que Candiru (Microsoft l'appelle le nom de code Sourgum) A été fondé en 2014. Et bien que ses vacances ont longtemps été clairs que l'entreprise est engagée dans les questions de cybersécurité, auparavant, ils ne savaient presque rien des activités de Candiru. À présent, grâce aux rapports de Microsoft et Citizen Lab, il est clair que les outils de l'entreprise aident ses clients à infecter et à prendre le contrôle de l'iPhone, Android, Mac, ordinateur, et comptes cloud.

Ce logiciel espion a été repéré pour la première fois par des chercheurs de Citizen Lab alors qu'ils effectuaient un examen cyber-médico-légal d'un appareil appartenant à un inconnu. “activiste politique d'Europe occidentale.” En partageant leurs découvertes avec Microsoft, les chercheurs ont pu localiser au moins 100 autres victimes de DevilsEye dans des pays comme la Palestine, Israël, L'Iran, Liban, Yémen, Espagne, Le Royaume-Uni, Turquie, Arménie, et Singapour.

Les chercheurs soulignent que la chaîne d'attaques était complexe et exploitait jusqu'à récemment des vulnérabilités zero-day inconnues: dans le navigateur Chrome (CVE-2021-21166 et CVE-2021-30551), dans Internet Explorer (CVE-2021-33742), et deux autres sous Windows (CVE-2021-31979 et CVE-2021-33771). Actuellement, les fabricants ont déjà réglé tous ces problèmes.

Les trois premières vulnérabilités ont déjà été mentionnées dans un rapport récent de Google, qui a également lié les attaques contre les vulnérabilités dans Chrome et IE à un “société de surveillance commerciale.” Google a déclaré que les bogues avaient été vendus à au moins deux groupes de “pirates du gouvernement” qui les a utilisés pour attaquer des cibles en Arménie. Maintenant, Google a mis à jour son rapport et lie également l'exploitation de ces problèmes avec l'israélien Candiru.

DevilsTongue permet à ses transporteurs de voler des victimes’ des dossiers, décrypter et voler les messages de Signal sur les appareils Windows, et voler des cookies et des mots de passe enregistrés de Chrome, Internet Explorer, Firefox, Navigateurs Safari et Opera.

DevilsTongue peut également utiliser des cookies stockés sur l'ordinateur de la victime pour des sites tels que Facebook, Gazouillement, Gmail, Yahoo, Mail.ru, Odnoklassniki et Vkontakte recueillent des informations confidentielles, lire les messages et extraire les photos. Sur certains des sites répertoriés, le logiciel espion peut même envoyer des messages au nom de la victime à d'autres personnes. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.

Les analystes de Citizen Lab affirment que les capacités de hack-for-hire de Candiru dépassent de loin ce que les experts de Google et Microsoft ont prédit. Selon Citizen Lab, plus que 750 domaines ont déjà été découverts qui hébergeaient Candiru, y compris de grands clusters aux Émirats arabes unis et en Arabie saoudite, suggérant que ces deux pays sont parmi les plus gros clients de l'entreprise.

Certains de ces domaines se sont déguisés en organisations de défense des droits humains telles qu'Amnesty International, le mouvement Black Lives Matter, et les entreprises médiatiques, d'éminents experts à conclure que les attaques étaient principalement dirigées contre des militants.

Christine Goodwin, Le responsable de la sécurité numérique de Microsoft, écrit que des entreprises comme Candiru fournissent des cyberarmes aux attaquants depuis des années, et les gouvernements de nombreux pays utilisent ces outils de piratage contre des membres de la société civile, ne pas traquer les criminels. Goodwin appelle à lutter contre ces entreprises, dont les produits sont activement utilisés pour violer les droits de l'homme.

Vous pouvez également lire ici que Le malware BIOPASS utilise le logiciel de streaming OBS Studio pour enregistrer les écrans des victimes et Comment se débarrasser du faux optimiseur de système Spyware Terminator?