Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje
Vesti, 19.07.2021, 10:30 AM

Microsoft i Citizen Lab povezali su izraelsku kompaniju Candiru (Sourgum), koja proizvodi špijunski softver, sa novim Windows malverom nazvanim DevilsTongue koji je instaliran na uređaje žrtava pomoću sada već zakrpljenih Windows ranjivosti nultog dana.
„Candiru je tajanstvena izraelska kompanija koja špijunski softver prodaje isključivo vladama“, objasnio je Citizen Lab u svom izveštaju. „Njihov špijunski softver navodno može da zarazi i nadgleda iPhone, Android, Mac, PC i račune u oblaku.“
„Sourgum generalno prodaje sajber oružje koje omogućava njegovim kupcima, često vladinim agencijama širom sveta, da upadaju u računare, telefone, mrežnu infrastrukturu i uređaje njihovih ciljeva povezane sa internetom“, rekao je Microsoft.
Istraga je započela nakon što je Citizen Labs podelio uzorke malvera pronađene na sistemima jedne žrtve što je dovelo do otkrića CVE-2021-31979 i CVE-2021-33771, dve ranjivosti nultog dana koje je Microsoft popravio prošlog utorka.
Istraživači Microsofta otkrili su „najmanje 100 žrtava u Palestini, Izraelu, Iranu, Libanu, Jemenu, Španiji, Ujedinjenom Kraljevstvu, Turskoj, Jermeniji i Singapuru“, a među njima su „političari, aktivisti za ljudska prava, novinari, naučnici, radnici ambasada i politički disidenti “.
Citizen Lab je sa druge strane skenirajući internet povezao preko 750 veb sajtova sa Candiruovom špijunskom infrastrukturom.
Mnogi od ovih veb sajtova dizajnirani su da oponašaju veb sajtove medijskih kompanija i organizacija poput Amnesty Internationala i pokreta Black Lives Matter.
Napadači su isporučivali malver DevilsTongue na računare žrtava koristeći ranjivosti nekoliko popularnih pregledača i operativnog sistema Windows.
DevilsTongue omogućava onima koji ga koriste da prikupljaju i kradu fajlove žrtava, dešifruju i kradu poruke iz aplikacije Signal na Windows uređajima i kradu kolačiće i sačuvane lozinke iz veb pregledača Chrome, Internet Explorer, Firefox, Safari i Opera.
DevilsTongue može da koristi kolačiće koji se čuvaju na računaru žrtve za veb sajtove poput Facebooka, Twittera, Gmaila, Yahooa, Mail.ru, Odnoklassniki i Vkontakte za prikupljanje osetljivih informacija, čitanje poruka žrtava i eksfiltraciju fotografija.
DevilsTongue takođe može da šalje poruke u ime žrtve na nekim od ovih veb sajtova, tako da onima koji prime poruke one izgledaju kao da ih je žrtva poslala. “Mogućnost slanja poruka može biti upotrebljena za slanje zlonamernih linkova većem broju žrtava.”
Ovo bi moglo omogućiti napadačima koji koriste Candiru špijunski softver da šalju zlonamerne linkove ili poruke sa uređaja žrtava, što dokazivanje ko je poslao poruku čini gotovo nemogućim.
„Ovi napadi uglavnom su ciljali korisničke račune, što ukazuje na to da su kupci Sourguma progonili određene pojedince“, rekla je Kristin Gudvin, direktorka Microsoftove jedinice za digitalnu bezbednost, dodajući da će zaštita koja je isporučena prošle nedelje “sprečiti rad alata Sourgum na računarima koji su već zaraženi ali i nove infekcije na ažuriranim računarima” i onima koji koriste Microsoft Defender Antivirus i Microsoft Defender.

Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade