0
0
Uma vulnerabilidade de dia zero no Google Chrome foi usada pelo grupo de spyware estabelecido Candiru para comprometer usuários no Oriente Médio – especificamente jornalistas no Líbano.
Os pesquisadores da Avast disseram que os invasores comprometeram um site usado por funcionários de agências de notícias no Líbano e injetaram código. Esse código identificou usuários específicos e direcionados e os encaminhou para um servidor de exploração. A partir daí, os invasores coletam um conjunto de cerca de 50 pontos de dados, incluindo idioma, tipo de dispositivo, fuso horário e muito mais, para verificar se eles atingiram o alvo pretendido.
No final da cadeia de exploração, os invasores descartam o spyware DevilsTongue, observou a equipe.
“Com base no malware e nos TTPs usados para realizar o ataque, podemos atribuí-lo com confiança a um fornecedor de spyware secreto de muitos nomes, mais conhecido como Candiru”, explicaram os pesquisadores da Avast.
A vulnerabilidade original (CVE-2022-2294), descoberta pela mesma equipe do Avast, foi resultado de uma falha de corrupção de memória no WebRTC . O Google lançou um patch em 4 de julho.
“As vulnerabilidades descobertas aqui são definitivamente sérias, principalmente devido ao alcance delas em termos do número de produtos afetados – navegadores de desktop mais modernos, navegadores móveis e quaisquer outros produtos que usam os componentes afetados do WebRTC”, James Sebree, engenheiro de pesquisa da equipe sênior da Tenable, por e-mail. “Se explorado com sucesso, um invasor pode executar seu próprio código malicioso no computador de uma determinada vítima e instalar malware, espionar a vítima, roubar informações ou realizar qualquer outro número de ações nefastas”.
Mas, acrescentou Sebree, a falha de estouro de heap original é complicada de explorar e provavelmente não resultará em ataques generalizados e generalizados.
“É provável que quaisquer ataques que utilizem essa vulnerabilidade sejam altamente direcionados”, explicou Sebree. “Embora seja improvável que veremos ataques generalizados explorando essa vulnerabilidade, as chances não são zero e as organizações devem corrigir adequadamente.”
Candiru (também conhecido como Sourgum, Grindavik, Saito Tech e Taveta) supostamente vende o malware de vigilância DevilsTongue para governos de todo o mundo. A empresa israelense foi fundada por engenheiros que deixaram o NSO Group, fabricante do infame spyware Pegasus .
O Departamento de Comércio dos EUA adicionou a Candiru à sua “Lista de Entidades”no ano passado, proibindo efetivamente o comércio com a empresa. A lista é usada para restringir aqueles considerados como um risco para a segurança nacional ou política externa dos EUA.
FONTE: DARK READING