Израильская компания использовала уязвимости нулевого дня для распространения шпионского ПО

В начале нынешней недели корпорация Microsoft выпустила пакет плановых обновлений, исправлявший в том числе и две уязвимости нулевого дня - CVE-2021-31979 и CVE-2021-33771. А спустя несколько дней стало известно, что эти уязвимости использовались для распространения изощренного и неизвестного ранее шпионского ПО. Об этом сообщили специалисты Microsoft и компании Citizen Labs.

По их мнению, эксплойты для этих уязвимостей были разработаны израильской компанией Candiru. Ранее о ней было практически ничего не известно, за исключением того, что она работает в сфере кибербезопасности. Находки специалистов Microsoft и Citizen Labs проливают свет на ее деятельность. Предполагается, что Candiru производит шпионское ПО, активно покупаемое в том числе и правительствами многих стран для организации слежки за политиками, дипломатами, учеными, журналистами и общественными деятелями, чьи взгляды идут вразрез с линией властей. Более 100 жертв атак этого вредоносного ПО, получившего название DevilsTongue, уже выявлены по всему миру – от Ирана, Йемена и Армении до Великобритании, Испании и Сингапура.

DevilsTongue устанавливается на устройства жертв со специально созданных вредоносных сайтов, используя эксплойты для популярных браузеров. Согласно сообщениям, зловред способен инфицировать мобильные устройства под управлением операционных систем iOS и Android и компьютеры Mac и PC. Шпионская программа позволяет просматривать и похищать файлы на инфицированных устройствах, перехватывать и расшифровывать сообщения в зашифрованном мессенджере Signal на Windows-системах, похищать файлы cookie и сохраненные пароли в браузерах Chrome, Internet Explorer, Firefox, Safari и Opera. Также DevilsTongue может использовать сохраненные cookie-файлы таких сайтов как Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki и Vkontakte для доступа к учетным записям пользователей. Наконец, зловред способен рассылать сообщения якобы от имени пользователя на некоторых сайтах.

Исследователи выявили шпионскую инфраструктру, состоящую из более чем 750 вредоносных сайтов, предположительно, созданных компанией Candiru для распространения своего ПО. Во многих случаях их домены имитируют названия популярных медиаресурсов, правозащитных организаций и общественных движений, включая Amnesty International и Black Lives Matter.


Источник:  Bleepingcomputer

Возврат к списку