22/07/22
Израильский поставщик шпионского ПО Candiru использовал 0-day уязвимость в Google Chrome, чтобы шпионить за журналистами и другими личностями на Ближнем Востоке с помощью шпионского ПО DevilsTongue.Об этом пишет Securitylab.
Уязвимость переполнения буфера динамической оперативной памяти (DRAM) в WebRTC CVE-2022-2294 может привести к выполнению кода на целевом устройстве. Согласно отчету Avast, Candiru начала использовать CVE-2022-2294 в марте 2022 года, ориентируясь на пользователей в Ливане, Турции, Йемене и Палестине.
Операторы шпионского ПО использовали атаку типа Watering Hole («водопой»). Атака подразумевает компрометацию легального веб-сайта, который посещают жертвы, чтобы с помощью неизвестной уязвимости в браузере заразить устройства шпионским ПО.
В одном случае злоумышленник взломал сайт, используемый информационным агентством в Ливане, и внедрили фрагменты JavaScript. Код позволил провести XXS-атаку (межсайтовый скриптинг) и перенаправить цели на зараженный сервер. Поскольку уязвимость была обнаружена в WebRTC, она также затронула браузер Apple Safari. Однако обнаруженный эксплойт работал только в Windows.
После первоначального заражения DevilsTongue использовал метод BYOVD ( Bring Your Own Vulnerable Driver ), чтобы повысить свои привилегии и получить доступ для чтения и записи в памяти скомпрометированного устройства. По словам Avast, обновление безопасности ПО не защитит от DevilsTongue, поскольку уязвимая версия уже содержит эксплойт.
Avast считает, что злоумышленник хотел узнать, какие новости расследовал целевой журналист. Киберпреступники шпионят за журналистами и их материалами , чтобы добраться до источников и собрать компрометирующую информацию и конфиденциальные данные, которыми журналисты поделились с прессой.
