Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje

Vesti, 19.07.2021, 10:30 AM

Izraelski proizvođač softvera koristio ranjivosti Windowsa da bi klijentima omogućio špijuniranje

Microsoft i Citizen Lab povezali su izraelsku kompaniju Candiru (Sourgum), koja proizvodi špijunski softver, sa novim Windows malverom nazvanim DevilsTongue koji je instaliran na uređaje žrtava pomoću sada već zakrpljenih Windows ranjivosti nultog dana.

„Candiru je tajanstvena izraelska kompanija koja špijunski softver prodaje isključivo vladama“, objasnio je Citizen Lab u svom izveštaju. „Njihov špijunski softver navodno može da zarazi i nadgleda iPhone, Android, Mac, PC i račune u oblaku.“

„Sourgum generalno prodaje sajber oružje koje omogućava njegovim kupcima, često vladinim agencijama širom sveta, da upadaju u računare, telefone, mrežnu infrastrukturu i uređaje njihovih ciljeva povezane sa internetom“, rekao je Microsoft.

Istraga je započela nakon što je Citizen Labs podelio uzorke malvera pronađene na sistemima jedne žrtve što je dovelo do otkrića CVE-2021-31979 i CVE-2021-33771, dve ranjivosti nultog dana koje je Microsoft popravio prošlog utorka.

Istraživači Microsofta otkrili su „najmanje 100 žrtava u Palestini, Izraelu, Iranu, Libanu, Jemenu, Španiji, Ujedinjenom Kraljevstvu, Turskoj, Jermeniji i Singapuru“, a među njima su „političari, aktivisti za ljudska prava, novinari, naučnici, radnici ambasada i politički disidenti “.

Citizen Lab je sa druge strane skenirajući internet povezao preko 750 veb sajtova sa Candiruovom špijunskom infrastrukturom.

Mnogi od ovih veb sajtova dizajnirani su da oponašaju veb sajtove medijskih kompanija i organizacija poput Amnesty Internationala i pokreta Black Lives Matter.

Napadači su isporučivali malver DevilsTongue na računare žrtava koristeći ranjivosti nekoliko popularnih pregledača i operativnog sistema Windows.

DevilsTongue omogućava onima koji ga koriste da prikupljaju i kradu fajlove žrtava, dešifruju i kradu poruke iz aplikacije Signal na Windows uređajima i kradu kolačiće i sačuvane lozinke iz veb pregledača Chrome, Internet Explorer, Firefox, Safari i Opera.

DevilsTongue može da koristi kolačiće koji se čuvaju na računaru žrtve za veb sajtove poput Facebooka, Twittera, Gmaila, Yahooa, Mail.ru, Odnoklassniki i Vkontakte za prikupljanje osetljivih informacija, čitanje poruka žrtava i eksfiltraciju fotografija.

DevilsTongue takođe može da šalje poruke u ime žrtve na nekim od ovih veb sajtova, tako da onima koji prime poruke one izgledaju kao da ih je žrtva poslala. “Mogućnost slanja poruka može biti upotrebljena za slanje zlonamernih linkova većem broju žrtava.”

Ovo bi moglo omogućiti napadačima koji koriste Candiru špijunski softver da šalju zlonamerne linkove ili poruke sa uređaja žrtava, što dokazivanje ko je poslao poruku čini gotovo nemogućim.

„Ovi napadi uglavnom su ciljali korisničke račune, što ukazuje na to da su kupci Sourguma progonili određene pojedince“, rekla je Kristin Gudvin, direktorka Microsoftove jedinice za digitalnu bezbednost, dodajući da će zaštita koja je isporučena prošle nedelje “sprečiti rad alata Sourgum na računarima koji su već zaraženi ali i nove infekcije na ažuriranim računarima” i onima koji koriste Microsoft Defender Antivirus i Microsoft Defender.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Dell objavio da su hakeri ukrali podatke 49 miliona kupaca

Dell objavio da su hakeri ukrali podatke 49 miliona kupaca

Dell je upozorio da su hakeri ukrali informacije o oko 49 miliona kupaca. Kompanija je na email adrese kupaca počela da šalje obaveštenja o komprom... Dalje

Preko ogromne mreže lažnih onlajn prodavnica ukradeni podaci o platnim karticama 850.000 kupaca

Preko ogromne mreže lažnih onlajn prodavnica ukradeni podaci o platnim karticama 850.000 kupaca

Nemačka firma za sajber bezbednost Security Research Labs GmbH (SRLabs) objavila je da su prevaranti koji stoje iza ogromne mreže onlajn prodavnica ... Dalje

Evrovizija se sprema za odbranu od hakerskih napada

Evrovizija se sprema za odbranu od hakerskih napada

Evrovizija je saopštila da intenzivno sarađuje sa bezbednosnim timovima kako bi zaštitila najveće svetsko muzičko takmičenje od sajber napada. ... Dalje

Google pojednostavljuje proces omogućavanja verifikacije u 2 koraka

Google pojednostavljuje proces omogućavanja verifikacije u 2 koraka

Google je objavio da pojednostavljuje proces omogućavanja dvofaktorske autentifikacije (2FA) za korisnike sa ličnim i Workspace nalozima. Verifikac... Dalje

Otkriven identitet vođe ransomware kartela LockBit

Otkriven identitet vođe ransomware kartela LockBit

FBI, britanska Nacionalna agencija za borbu protiv kriminala i Europol objavili su optužnice i sankcije koje uključuju zamrzavanje imovine i zabranu... Dalje