Explorações do Windows e spyware DevilsEye estão associados à empresa israelense Candiru

Helga SmithJulho 17, 2021Última Actualização Março 10, 2022
45 lido 2 minutos

Especialistas de Microsoft e Citizen Lab falou sobre o spyware DevilsEye, que foi desenvolvido pela empresa israelense Candiru, e depois vendido para governos de diferentes países. DevilsEye detectou pelo menos 100 alvos de alto escalão nos sistemas, enquanto vulnerabilidades de dia 0 em navegadores e Windows foram usadas para infectá-los.

Os pesquisadores afirmam que a empresa israelense Candiru está por trás do desenvolvimento de pelo menos dois exploits para vulnerabilidades de dia zero no Windows que foram usados ​​para atacar e implantar o spyware DevilsEye, anteriormente desconhecido. Este malware afetou políticos, defensores dos direitos humanos, ativistas, jornalistas, acadêmicos, embaixadas e dissidentes políticos em todo o mundo.

Sabe-se que Candiru (A Microsoft o chama de codinome Sourgum) foi fundado em 2014. E embora suas vagas há muito tempo deixou claro que a empresa está envolvida em questões de segurança cibernética, anteriormente, eles não sabiam quase nada sobre as atividades de Candiru. Agora, graças aos relatórios da Microsoft e Citizen Lab, está claro que as ferramentas da empresa estão ajudando seus clientes a infectar e assumir o controle do iPhone, Android, Mac, PC, e contas na nuvem.

Candiru é uma empresa israelense secreta que vende spyware exclusivamente para governos.Citizen Lab disse.

Este spyware foi detectado pela primeira vez por pesquisadores do Citizen Lab quando eles conduziam um exame ciber-forense de um dispositivo pertencente a um “ativista político da Europa Ocidental.” Compartilhando suas descobertas com a Microsoft, pesquisadores foram capazes de localizar pelo menos 100 outras vítimas do DevilsEye em países como a Palestina, Israel, Irã, Líbano, Iémen, Espanha, o Reino Unido, Turquia, Armênia, e Singapura.

O DevilsEye se espalhou atraindo as vítimas para sites maliciosos que hospedavam um kit de exploração que abusava de várias vulnerabilidades do navegador para instalar malware nas vítimas’ dispositivos. Subseqüentemente, na segunda fase do ataque, um exploit do Windows foi usado para permitir que os invasores elevem seus privilégios ao nível de administrador.Especialistas da Microsoft escrevem.

Os pesquisadores enfatizam que a cadeia de ataques era complexa e explorada até vulnerabilidades de dia zero desconhecidas recentemente: no navegador Chrome (CVE-2021-21166 e CVE-2021-30551), no Internet Explorer (CVE-2021-33742), e mais dois no Windows (CVE-2021-31979 e CVE-2021-33771). Atualmente, os fabricantes já corrigiram todos esses problemas.

As três primeiras vulnerabilidades já foram mencionadas em um relatório recente do Google, que também vinculou ataques a vulnerabilidades no Chrome e no IE a um “empresa de vigilância comercial.” O Google disse que os bugs foram vendidos para pelo menos dois grupos de “hackers do governo” que os usou para atacar alvos na Armênia. Agora o Google atualizou seu relatório e também vincula a exploração desses problemas ao Candiru israelense.

DevilsTongue permite que seus portadores roubem vítimas’ arquivos, descriptografar e roubar mensagens do Signal em dispositivos Windows, e roubar cookies e senhas salvas do Chrome, Internet Explorer, Raposa de fogo, Navegadores Safari e Opera.

O DevilsTongue também pode usar cookies armazenados no computador da vítima para sites como o Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki e Vkontakte para coletar informações confidenciais, ler mensagens e extrair fotos. Em alguns dos sites listados, o spyware pode até mesmo enviar mensagens em nome da vítima para outras pessoas. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.

Os analistas do Citizen Lab dizem que os recursos de hack for Hire de Candiru excedem em muito o que os especialistas do Google e da Microsoft previram. De acordo com Citizen Lab, mais do que 750 já foram descobertos domínios que hospedavam o Candiru, incluindo grandes aglomerados nos Emirados Árabes Unidos e na Arábia Saudita, sugerindo que esses dois países são alguns dos maiores clientes da empresa.

Alguns desses domínios se disfarçaram como organizações de direitos humanos, como a Anistia Internacional, o movimento Black Lives Matter, e empresas de mídia, principais especialistas concluem que os ataques foram dirigidos principalmente contra ativistas.

Christine Goodwin, Chefe de segurança digital da Microsoft, escreve que empresas como a Candiru fornecem armas cibernéticas a atacantes há anos, e governos em muitos países usam essas ferramentas de hacking contra membros da sociedade civil, não rastrear criminosos. Goodwin pede a luta contra essas empresas, cujos produtos são usados ​​ativamente para violar os direitos humanos.

Um mundo em que empresas do setor privado fabricam e vendem armas cibernéticas está se tornando mais perigoso para os consumidores, empresas de todos os tamanhos, e até mesmo governos.Goodwin escreve.

Você também pode ler aqui que O malware BIOPASS usa o software de streaming OBS Studio para registrar telas de vítimas e Como se livrar do falso otimizador de sistema do Spyware Terminator?

Tag
Helga SmithJulho 17, 2021Última Actualização Março 10, 2022
45 lido 2 minutos

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo