Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje
Vesti, 19.07.2021, 10:30 AM

Microsoft i Citizen Lab povezali su izraelsku kompaniju Candiru (Sourgum), koja proizvodi špijunski softver, sa novim Windows malverom nazvanim DevilsTongue koji je instaliran na uređaje žrtava pomoću sada već zakrpljenih Windows ranjivosti nultog dana.
„Candiru je tajanstvena izraelska kompanija koja špijunski softver prodaje isključivo vladama“, objasnio je Citizen Lab u svom izveštaju. „Njihov špijunski softver navodno može da zarazi i nadgleda iPhone, Android, Mac, PC i račune u oblaku.“
„Sourgum generalno prodaje sajber oružje koje omogućava njegovim kupcima, često vladinim agencijama širom sveta, da upadaju u računare, telefone, mrežnu infrastrukturu i uređaje njihovih ciljeva povezane sa internetom“, rekao je Microsoft.
Istraga je započela nakon što je Citizen Labs podelio uzorke malvera pronađene na sistemima jedne žrtve što je dovelo do otkrića CVE-2021-31979 i CVE-2021-33771, dve ranjivosti nultog dana koje je Microsoft popravio prošlog utorka.
Istraživači Microsofta otkrili su „najmanje 100 žrtava u Palestini, Izraelu, Iranu, Libanu, Jemenu, Španiji, Ujedinjenom Kraljevstvu, Turskoj, Jermeniji i Singapuru“, a među njima su „političari, aktivisti za ljudska prava, novinari, naučnici, radnici ambasada i politički disidenti “.
Citizen Lab je sa druge strane skenirajući internet povezao preko 750 veb sajtova sa Candiruovom špijunskom infrastrukturom.
Mnogi od ovih veb sajtova dizajnirani su da oponašaju veb sajtove medijskih kompanija i organizacija poput Amnesty Internationala i pokreta Black Lives Matter.
Napadači su isporučivali malver DevilsTongue na računare žrtava koristeći ranjivosti nekoliko popularnih pregledača i operativnog sistema Windows.
DevilsTongue omogućava onima koji ga koriste da prikupljaju i kradu fajlove žrtava, dešifruju i kradu poruke iz aplikacije Signal na Windows uređajima i kradu kolačiće i sačuvane lozinke iz veb pregledača Chrome, Internet Explorer, Firefox, Safari i Opera.
DevilsTongue može da koristi kolačiće koji se čuvaju na računaru žrtve za veb sajtove poput Facebooka, Twittera, Gmaila, Yahooa, Mail.ru, Odnoklassniki i Vkontakte za prikupljanje osetljivih informacija, čitanje poruka žrtava i eksfiltraciju fotografija.
DevilsTongue takođe može da šalje poruke u ime žrtve na nekim od ovih veb sajtova, tako da onima koji prime poruke one izgledaju kao da ih je žrtva poslala. “Mogućnost slanja poruka može biti upotrebljena za slanje zlonamernih linkova većem broju žrtava.”
Ovo bi moglo omogućiti napadačima koji koriste Candiru špijunski softver da šalju zlonamerne linkove ili poruke sa uređaja žrtava, što dokazivanje ko je poslao poruku čini gotovo nemogućim.
„Ovi napadi uglavnom su ciljali korisničke račune, što ukazuje na to da su kupci Sourguma progonili određene pojedince“, rekla je Kristin Gudvin, direktorka Microsoftove jedinice za digitalnu bezbednost, dodajući da će zaštita koja je isporučena prošle nedelje “sprečiti rad alata Sourgum na računarima koji su već zaraženi ali i nove infekcije na ažuriranim računarima” i onima koji koriste Microsoft Defender Antivirus i Microsoft Defender.

Izdvojeno
Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu
.jpg)
Više od decenije, Google koristi veštačku inteligenciju za zaštitu korisnika od prevara na internetu koji žele da dobiju pristup njihovom novcu i... Dalje
Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Pratite nas
Nagrade