Siguiendo a Microsoft, Google y el laboratorio ciudadano, Otra revelación vino de los investigadores de Avast.. Descubrieron que el software espía israelí que utilizaba Candiru una vulnerabilidad de día 0 en Google Chrome. Su principal objetivo era espiar a periodistas y otras personas en el Medio Oriente usando el software Devils Tongue. Después de recibir una bofetada de Citizen Lab, El desarrollador de una amplia gama de operaciones con DevilsTongue pasa a la sombra.. Como se vio despues, hicieron una pausa para reestructurar su arsenal.
El malware Candiru ataca a través de CVE-2022-2294
Las opciones fueron CVE-2022-2294, que es un grave desbordamiento del búfer de montón en WebRTC, y si tiene éxito, puede mirar a RCE en la imagen de destino. El parche para el error, como informamos anteriormente, fue publicado por Google en julio 4, pero los detalles de la operación del día 0 no fueron revelados entonces. Ahora se presentan en el informe de Avast.
Candiru comenzó a explotar la vulnerabilidad en marzo. 2022, apuntar y liberar objetivos en Líbano, Pavo, Yemen. Los operadores de software espía utilizaron una estrategia de ataque de abrevadero, comprometer los sitios de destino o crear otros nuevos. Entonces, las víctimas visitaban estos sitios, generalmente después de phishing u otros ataques. Usar Chrome o navegadores basados en Chromium fue un término principal para que los hackers tuvieran éxito.
En un caso, Los infiltrados piratearon el sitio web de una agencia de noticias en el Líbano. Entonces, lograron inyectar fragmentos de JavaScript que habilitó el ataque XSS. Las víctimas fueron redirigidas a un servidor con un exploit.. Después de eso, Los piratas informáticos perfilaron eso y entraron en sus dispositivos.. Recogieron información sobre el conjunto de idiomas, zona horaria, pantalla, tipo de dispositivo, aplicaciones de navegador, Dispositivo de memoria, funcionalidad, galletas, y más. En el caso del Líbano, explotar una detección de acción de captura de shellcode de día 0 dentro del proceso de renderizado e implementar una vulnerabilidad de salida de sandbox. Sin embargo, se negó a reproducirse en la investigación. Vale la pena señalar que el exploit solo funcionó en el entorno Windows..
Otras acciones
Después de la inyección inicial, DevilsTongue usó BYOVD1 elevar privilegios y obtener acceso de lectura y escritura a la memoria del dispositivo comprometido. Los investigadores determinaron que BYOVD, la presencia de candiru, también fue un día 0. El problema es que probablemente sea imposible solucionarlo incluso con una actualización.. Los investigadores no encontraron el objetivo estratégico final exacto de la campaña detectada.. Los analistas suponen que el ataque estaba dirigido a determinadas personas y sus datos personales..
Acerca del grupo de software espía Candiru
Este no es el primer caso de malware respaldado por el gobierno con origen en Israel.. Después de la aparición en 2014, aplicó un modelo de software como servicio, ofreciendo su software espía para 15% comisión. Aún, su reconocimiento sigue siendo bastante bajo, y se esconde en la sombra de infame software espía Pegasus. Este último sirve a decenas de gobiernos de todo el mundo., es el mas notable. Pero quién sabe cuántos ejemplos existen realmente., pero nunca he aparecido en público? Y esta tendencia probablemente continuará mientras exista una confrontación abierta entre diferentes países.. Israel mantiene sus tensiones con sus vecinos, La guerra ruso-ucraniana está lejos de su fin.. La región del sur de Asia también parece un barril de pólvora. Y la tentación de espiar a alguien siempre sigue a tensiones políticas de este tipo..
