Explorações do Windows e spyware DevilsEye estão associados à empresa israelense Candiru
Especialistas de Microsoft e Citizen Lab falou sobre o spyware DevilsEye, que foi desenvolvido pela empresa israelense Candiru, e depois vendido para governos de diferentes países. DevilsEye detectou pelo menos 100 alvos de alto escalão nos sistemas, enquanto vulnerabilidades de dia 0 em navegadores e Windows foram usadas para infectá-los.
Os pesquisadores afirmam que a empresa israelense Candiru está por trás do desenvolvimento de pelo menos dois exploits para vulnerabilidades de dia zero no Windows que foram usados para atacar e implantar o spyware DevilsEye, anteriormente desconhecido. Este malware afetou políticos, defensores dos direitos humanos, ativistas, jornalistas, acadêmicos, embaixadas e dissidentes políticos em todo o mundo.
Sabe-se que Candiru (A Microsoft o chama de codinome Sourgum) foi fundado em 2014. E embora suas vagas há muito tempo deixou claro que a empresa está envolvida em questões de segurança cibernética, anteriormente, eles não sabiam quase nada sobre as atividades de Candiru. Agora, graças aos relatórios da Microsoft e Citizen Lab, está claro que as ferramentas da empresa estão ajudando seus clientes a infectar e assumir o controle do iPhone, Android, Mac, PC, e contas na nuvem.
Este spyware foi detectado pela primeira vez por pesquisadores do Citizen Lab quando eles conduziam um exame ciber-forense de um dispositivo pertencente a um “ativista político da Europa Ocidental.” Compartilhando suas descobertas com a Microsoft, pesquisadores foram capazes de localizar pelo menos 100 outras vítimas do DevilsEye em países como a Palestina, Israel, Irã, Líbano, Iémen, Espanha, o Reino Unido, Turquia, Armênia, e Singapura.
Os pesquisadores enfatizam que a cadeia de ataques era complexa e explorada até vulnerabilidades de dia zero desconhecidas recentemente: no navegador Chrome (CVE-2021-21166 e CVE-2021-30551), no Internet Explorer (CVE-2021-33742), e mais dois no Windows (CVE-2021-31979 e CVE-2021-33771). Atualmente, os fabricantes já corrigiram todos esses problemas.
As três primeiras vulnerabilidades já foram mencionadas em um relatório recente do Google, que também vinculou ataques a vulnerabilidades no Chrome e no IE a um “empresa de vigilância comercial.” O Google disse que os bugs foram vendidos para pelo menos dois grupos de “hackers do governo” que os usou para atacar alvos na Armênia. Agora o Google atualizou seu relatório e também vincula a exploração desses problemas ao Candiru israelense.
DevilsTongue permite que seus portadores roubem vítimas’ arquivos, descriptografar e roubar mensagens do Signal em dispositivos Windows, e roubar cookies e senhas salvas do Chrome, Internet Explorer, Raposa de fogo, Navegadores Safari e Opera.
O DevilsTongue também pode usar cookies armazenados no computador da vítima para sites como o Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki e Vkontakte para coletar informações confidenciais, ler mensagens e extrair fotos. Em alguns dos sites listados, o spyware pode até mesmo enviar mensagens em nome da vítima para outras pessoas. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.
Os analistas do Citizen Lab dizem que os recursos de hack for Hire de Candiru excedem em muito o que os especialistas do Google e da Microsoft previram. De acordo com Citizen Lab, mais do que 750 já foram descobertos domínios que hospedavam o Candiru, incluindo grandes aglomerados nos Emirados Árabes Unidos e na Arábia Saudita, sugerindo que esses dois países são alguns dos maiores clientes da empresa.
Alguns desses domínios se disfarçaram como organizações de direitos humanos, como a Anistia Internacional, o movimento Black Lives Matter, e empresas de mídia, principais especialistas concluem que os ataques foram dirigidos principalmente contra ativistas.
Christine Goodwin, Chefe de segurança digital da Microsoft, escreve que empresas como a Candiru fornecem armas cibernéticas a atacantes há anos, e governos em muitos países usam essas ferramentas de hacking contra membros da sociedade civil, não rastrear criminosos. Goodwin pede a luta contra essas empresas, cujos produtos são usados ativamente para violar os direitos humanos.
Você também pode ler aqui que O malware BIOPASS usa o software de streaming OBS Studio para registrar telas de vítimas e Como se livrar do falso otimizador de sistema do Spyware Terminator?