DevilsTongue – Un nouveau logiciel espion de la société israélienne Candiru

  • FrançaisFrançais



  • Toutes les variantes de logiciels malveillants ne sont pas disponibles sur les marchés souterrains du darknet. Certains syndicats criminels les conçoivent et les fournissent, en particulier pour les cyberattaques parrainées par l’État. Dans une enquête récente, des chercheurs en sécurité ont identifié de nouveaux logiciels espions créés par Candiru (également connu sous le nom de SOURGUM), un fournisseur de logiciels espions mercenaires basé en Israël, pour cibler les systèmes Windows, les iPhones, les Mac, les plates-formes Android et les réseaux cloud à travers le monde. Le vendeur échangerait diverses cyber-armes avec des acteurs parrainés par l’État et des agences gouvernementales dans le cadre de packages de piratage en tant que service.

    La langue des diables de Candiru

    Une enquête conjointe menée par Citizenlab et Microsoft Threat Intelligence Center (MSTIC) a identifié le logiciel espion Windows, suivi comme DiablesLangue, exploitant deux vulnérabilités zero-day de Windows répertoriées comme CVE-2021-31979 et CVE-2021-33771. Si elles sont exploitées, les vulnérabilités pourraient donner à un attaquant distant un accès à l’élévation des privilèges en évitant les sandbox du navigateur et en obtenant l’exécution du code du noyau.

    Microsoft a corrigé les bogues dans sa mise à jour de sécurité de juillet 2021.

    Le logiciel espion a également ciblé plus de 100 victimes, dont des politiciens, des journalistes, des universitaires, des employés d’ambassade, des militants des droits humains et des dissidents politiques. Les adversaires ont utilisé différents navigateurs et exploits Windows pour déployer des logiciels malveillants sur les systèmes ciblés. Ils ont envoyé des URL malveillantes à usage unique à des cibles via des services de messagerie comme WhatsApp. La plupart des victimes de DevilsTongue se trouvent en Palestine, suivies d’Israël, du Yémen, de l’Iran, du Liban, de l’Espagne, du Royaume-Uni, de la Turquie, de l’Arménie et de Singapour.

    Citizenlab a déclaré que la charge utile Windows de Candiru présente diverses fonctionnalités telles que l’exfiltration de fichiers ; voler les cookies et les mots de passe des navigateurs Chrome, Internet Explorer, Firefox, Safari et Opera ; et exporter tous les messages enregistrés dans les applications de messagerie.

    Microsoft a affirmé avoir mis en place les mesures de sécurité nécessaires pour protéger ses produits contre ce logiciel espion hautement sophistiqué.

    « Nous avons partagé ces protections avec la communauté de la sécurité afin que nous puissions collectivement faire face et atténuer cette menace. Nous avons également publié une mise à jour logicielle qui protégera les clients Windows des exploits associés que l’acteur a utilisés pour aider à diffuser ses logiciels malveillants hautement sophistiqués », a déclaré Microsoft.

    Structure d’entreprise de Candiru

    Selon Citizenlab, Candiru a été fondée en 2014 et est connue pour avoir changé d’identité à plusieurs reprises. Bien que la société opère actuellement sous le nom de Saito Tech Ltd., elle a fonctionné sous plusieurs identités, telles que DF Associates en 2017, Grindavik Solutions en 2018 et Taveta en 2019. La société fournit divers services criminels tels que la distribution de logiciels malveillants personnalisés et la cybersécurité. l’espionnage (ordinateurs, appareils mobiles et comptes cloud) en gardant ses opérations, son infrastructure et l’identité de son personnel en mode furtif. Candiru a des clients en Europe, dans le golfe Persique, dans l’ex-Union soviétique, en Asie et en Amérique latine.

    Les chercheurs ont trouvé plus de 750 sites Web liés à l’infrastructure de logiciels espions de Candiru, dont beaucoup ont usurpé l’identité de plusieurs domaines légitimes d’agences de protection sociale et de défense des droits comme Amnesty International et Black Lives Matter.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *