Gli exploit di Windows e lo spyware DevilsEye sono associati alla società israeliana Candiru

Specialisti da Microsoft e Laboratorio cittadino ha parlato dello spyware DevilsEye, che è stato sviluppato dalla società israeliana Candiru, e poi venduto ai governi di diversi paesi. Almeno DevilsEye lo ha rilevato 100 obiettivi di alto rango sui sistemi, mentre le vulnerabilità 0-day nei browser e in Windows sono state utilizzate per infettarli.

I ricercatori affermano che la società israeliana Candiru è dietro lo sviluppo di almeno due exploit per le vulnerabilità zero-day di Windows che sono stati utilizzati per attaccare e distribuire lo spyware DevilsEye precedentemente sconosciuto. Questo malware ha colpito i politici, difensori dei diritti umani, attivisti, giornalisti, Il gruppo APT legato alla Cina Hafnium ha iniziato a utilizzare il nuovo malware Tarrask per garantire la persistenza sui sistemi Windows compromessi, ambasciate e dissidenti politici in tutto il mondo.

È noto che Candiru (Microsoft lo chiama con il nome in codice Sourgum) è stata fondata nel 2014. E nonostante i suoi posti vacanti lo hanno chiarito da tempo che l’azienda è impegnata in questioni di sicurezza informatica, prima non sapevano quasi nulla delle attività di Candiru. Adesso, grazie alle segnalazioni di Microsoft e Citizen Lab, è chiaro che gli strumenti dell’azienda stanno aiutando i suoi clienti a infettare e assumere il controllo dell’iPhone, Androide, Mac, PC, e account cloud.

Questo spyware è stato individuato per la prima volta dai ricercatori di Citizen Lab mentre stavano conducendo un esame cyber-forense di un dispositivo appartenente a un'entità anonima “attivista politico dell'Europa occidentale.” Condividendo i loro risultati con Microsoft, i ricercatori sono riusciti a localizzare almeno 100 altre vittime di DevilsEye in paesi come la Palestina, Israele, Iran, Libano, Yemen, Spagna, il Regno Unito, tacchino, Armenia, e Singapore.

I ricercatori sottolineano che la catena di attacchi è stata complessa e ha sfruttato vulnerabilità zero-day fino a poco tempo fa sconosciute: nel browser Chrome (CVE-2021-21166 e CVE-2021-30551), nell'Internet Explorer (CVE-2021-33742), e altri due in Windows (CVE-2021-31979 e CVE-2021-33771). Attualmente, i produttori hanno già risolto tutti questi problemi.

Le prime tre vulnerabilità sono già state menzionate in a recente rapporto di Google, che collegava anche gli attacchi alle vulnerabilità in Chrome e IE a un file senza nome “società di sorveglianza commerciale.” Google ha detto che i bug sono stati venduti ad almeno due gruppi di “hacker governativi” che li hanno usati per attaccare obiettivi in ​​Armenia. Ora Google ha aggiornato il suo rapporto e collega anche lo sfruttamento di questi problemi con l'israeliano Candiru.

DevilsTongue consente ai suoi corrieri di rubare vittime’ File, decrittografare e rubare messaggi da Signal sui dispositivi Windows, e rubare cookie e password salvate da Chrome, Internet Explorer, Firefox, Browser Safari e Opera.

DevilsTongue può anche utilizzare cookie memorizzati sul computer della vittima per siti come Facebook, cinguettio, Gmail, Yahoo, Mail.ru, Odnoklassniki e Vkontakte per raccogliere informazioni riservate, leggere messaggi ed estrarre foto. Su alcuni dei siti elencati, lo spyware può persino inviare messaggi ad altre persone per conto della vittima. Alcuni degli strumenti anti-spyware può impedire un simile comportamento, ma fermarlo richiede ulteriori sforzi.

Gli analisti di Citizen Lab affermano che le capacità di hacking di Candiru superano di gran lunga quanto previsto dagli esperti di Google e Microsoft. Secondo Citizen Lab, più di 750 sono già stati scoperti domini che hanno ospitato Candiru, compresi grandi cluster negli Emirati Arabi Uniti e in Arabia Saudita, suggerendo che questi due paesi sono alcuni dei maggiori clienti dell’azienda.

Alcuni di questi ambiti si sono mascherati da organizzazioni per i diritti umani come Amnesty International, il movimento Black Lives Matter, e società di media, portando gli esperti a concludere che gli attacchi erano diretti principalmente contro gli attivisti.

Cristina Goodwin, Il responsabile della sicurezza digitale di Microsoft, scrive che aziende come Candiru forniscono da anni armi informatiche agli aggressori, e i governi di molti paesi utilizzano questi strumenti di hacking contro i membri della società civile, non per rintracciare i criminali. Goodwin chiede la lotta contro tali società, i cui prodotti vengono attivamente utilizzati per violare i diritti umani.

Puoi anche leggerlo qui Il malware BIOPASS utilizza il software di streaming OBS Studio per registrare le schermate delle vittime e Come sbarazzarsi di Spyware Terminator finto ottimizzatore di sistema?