Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje
Vesti, 19.07.2021, 10:30 AM
Microsoft i Citizen Lab povezali su izraelsku kompaniju Candiru (Sourgum), koja proizvodi špijunski softver, sa novim Windows malverom nazvanim DevilsTongue koji je instaliran na uređaje žrtava pomoću sada već zakrpljenih Windows ranjivosti nultog dana.
„Candiru je tajanstvena izraelska kompanija koja špijunski softver prodaje isključivo vladama“, objasnio je Citizen Lab u svom izveštaju. „Njihov špijunski softver navodno može da zarazi i nadgleda iPhone, Android, Mac, PC i račune u oblaku.“
„Sourgum generalno prodaje sajber oružje koje omogućava njegovim kupcima, često vladinim agencijama širom sveta, da upadaju u računare, telefone, mrežnu infrastrukturu i uređaje njihovih ciljeva povezane sa internetom“, rekao je Microsoft.
Istraga je započela nakon što je Citizen Labs podelio uzorke malvera pronađene na sistemima jedne žrtve što je dovelo do otkrića CVE-2021-31979 i CVE-2021-33771, dve ranjivosti nultog dana koje je Microsoft popravio prošlog utorka.
Istraživači Microsofta otkrili su „najmanje 100 žrtava u Palestini, Izraelu, Iranu, Libanu, Jemenu, Španiji, Ujedinjenom Kraljevstvu, Turskoj, Jermeniji i Singapuru“, a među njima su „političari, aktivisti za ljudska prava, novinari, naučnici, radnici ambasada i politički disidenti “.
Citizen Lab je sa druge strane skenirajući internet povezao preko 750 veb sajtova sa Candiruovom špijunskom infrastrukturom.
Mnogi od ovih veb sajtova dizajnirani su da oponašaju veb sajtove medijskih kompanija i organizacija poput Amnesty Internationala i pokreta Black Lives Matter.
Napadači su isporučivali malver DevilsTongue na računare žrtava koristeći ranjivosti nekoliko popularnih pregledača i operativnog sistema Windows.
DevilsTongue omogućava onima koji ga koriste da prikupljaju i kradu fajlove žrtava, dešifruju i kradu poruke iz aplikacije Signal na Windows uređajima i kradu kolačiće i sačuvane lozinke iz veb pregledača Chrome, Internet Explorer, Firefox, Safari i Opera.
DevilsTongue može da koristi kolačiće koji se čuvaju na računaru žrtve za veb sajtove poput Facebooka, Twittera, Gmaila, Yahooa, Mail.ru, Odnoklassniki i Vkontakte za prikupljanje osetljivih informacija, čitanje poruka žrtava i eksfiltraciju fotografija.
DevilsTongue takođe može da šalje poruke u ime žrtve na nekim od ovih veb sajtova, tako da onima koji prime poruke one izgledaju kao da ih je žrtva poslala. “Mogućnost slanja poruka može biti upotrebljena za slanje zlonamernih linkova većem broju žrtava.”
Ovo bi moglo omogućiti napadačima koji koriste Candiru špijunski softver da šalju zlonamerne linkove ili poruke sa uređaja žrtava, što dokazivanje ko je poslao poruku čini gotovo nemogućim.
„Ovi napadi uglavnom su ciljali korisničke račune, što ukazuje na to da su kupci Sourguma progonili određene pojedince“, rekla je Kristin Gudvin, direktorka Microsoftove jedinice za digitalnu bezbednost, dodajući da će zaštita koja je isporučena prošle nedelje “sprečiti rad alata Sourgum na računarima koji su već zaraženi ali i nove infekcije na ažuriranim računarima” i onima koji koriste Microsoft Defender Antivirus i Microsoft Defender.
Izdvojeno
Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti
Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje
AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad
Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja
Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje
Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji
Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





