Seguindo a Microsoft, Google e Laboratório Cidadão, outra revelação veio dos pesquisadores do Avast. Eles descobriram que o spyware israelense que Candiru usava uma vulnerabilidade de dia 0 no Google Chrome. Seu principal alvo era espionando jornalistas e outras pessoas no Oriente Médio usando o software DevilsTongue. Depois de levar um tapa do Citizen Lab, desenvolvedor de uma ampla gama de operações com DevilsTongue vai para a sombra. Como acabou, eles fizeram uma pausa para reequipar seu arsenal.
O malware Candiru ataca através do CVE-2022-2294
As escolhas foram CVE-2022-2294, que é um grave estouro de buffer de heap no WebRTC, e se tiver sucesso, pode olhar para RCE na imagem de destino. O patch para o bug, como informamos anteriormente, foi publicado pelo Google em julho 4, mas os detalhes da operação do dia 0 não foram divulgados então. Agora eles são apresentados no relatório Avast.
Candiru começou a explorar a vulnerabilidade em março 2022, direcionando e liberando alvos no Líbano, Peru, Iémen. Os operadores de spyware usaram uma estratégia de ataque watering hole, comprometer os sites alvo ou criar novos. Então, as vítimas estavam visitando esses sites, geralmente após spear phishing ou outras explorações. Usar navegadores Chrome ou baseados em Chromium era o principal termo para o sucesso dos hackers.
Em um caso, os infiltrados invadiram o site de uma agência de notícias no Líbano. Então, eles conseguiram injetar trechos de JavaScript que habilitou o ataque XSS. As vítimas foram redirecionadas para um servidor com um exploit. Depois disso, hackers criaram um perfil disso e entraram em seus dispositivos. Eles coletaram informações sobre o conjunto de idiomas, fuso horário, tela, tipo de dispositivo, aplicativos de navegador, Memória do dispositivo, funcionalidade, biscoitos, e mais. No caso do Líbano, explorando uma detecção de ação de captura de shellcode de dia 0 dentro do processo de renderização e implementando uma vulnerabilidade de saída de sandbox. No entanto, recusou-se a reproduzir na pesquisa. Vale ressaltar que o exploit funcionou apenas no ambiente Windows.
Ações futuras
Após a injeção inicial, DevilsTongue usou BYOVD1 para elevar privilégios e obtenha acesso de leitura e gravação à memória do dispositivo comprometido. Os pesquisadores determinaram que BYOVD, a presença de Candiru, também foi um dia 0. O problema é que provavelmente é impossível consertar mesmo com uma atualização. Os pesquisadores não encontraram o alvo estratégico final exato da campanha detectada. Os analistas presumem que o ataque visava certas pessoas e suas informações pessoais.
Sobre o grupo de spyware Candiru
Este não é o primeiro caso de malware apoiado pelo governo com origem em Israel. Após a aparição em 2014, aplicou um modelo de software como serviço, oferecendo seu spyware para 15% comissão. Ainda, seu reconhecimento ainda é muito baixo, e se esconde na sombra de famoso spyware Pegasus. Este último atende dezenas de governos em todo o mundo, é o mais notável. Mas quem sabe quantos exemplos realmente existem, mas nunca apareceu em público? E esta tendência provavelmente continuará enquanto existir um confronto aberto entre diferentes países. Israel mantém as tensões com os vizinhos, a guerra russo-ucraniana está longe do fim. A região do Sul da Ásia também parece um barril de pólvora. E a tentação de espionar alguém sempre segue tensões políticas desse tipo.
