Microsoft : une entreprise israélienne a exploité des failles de Windows

0

Microsoft et Citizen Lab ont lié la société israélienne de logiciels espions Candiru (également connue sous le nom de Sourgum) à un nouveau logiciel espion de Windows appelé DevilsTongue déployé à l’aide de vulnérabilités zero-day de Windows désormais corrigées.

« Candiru est une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements », a expliqué Citizen Lab dans un rapport publié récemment. « Apparemment, leurs logiciels espions peuvent infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud. »

« Sourgum vend généralement des cyberarmes qui permettent à ses clients, souvent des agences gouvernementales du monde entier, de pirater les ordinateurs, les téléphones, l’infrastructure réseau et les appareils connectés à Internet de leurs cibles », a ajouté Microsoft. « Ces agences choisissent ensuite qui cibler et exécutent elles-mêmes les opérations. »

L’enquête a commencé après que Citizen Labs ait partagé des échantillons de logiciels malveillants trouvés sur les systèmes d’une victime et a conduit à la découverte de CVE-2021-31979 et CVE-2021-33771, deux vulnérabilités zero-day corrigées par Microsoft lors du Patch Tuesday de ce mois-ci.

Les chercheurs de Microsoft ont découvert « au moins 100 victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour », les victimes comprenant « des politiciens, des militants des droits humains, des journalistes, des universitaires, des employés d’ambassade, et des dissidents politiques ».

Citizen Lab a également lié plus de 750 sites à l’infrastructure de logiciels espions de Candiru avec une confiance modérée à élevée en utilisant l’analyse Internet.

Ils ont également découvert que bon nombre de ces domaines étaient conçus pour imiter des domaines représentant des sociétés de médias et des organisations de défense des droits, notamment Amnesty International et le mouvement Black Lives Matter.

Le logiciel espion de Candiru

Les pirates informatiques ont livré le malware DevilsTongue aux ordinateurs des victimes en utilisant une chaîne d’exploitation qui a abusé des vulnérabilités de plusieurs navigateurs populaires et du système d’exploitation Windows.

DevilsTongue permet à ses opérateurs de collecter et de voler les fichiers des victimes, de décrypter et de voler les messages Signal sur les appareils Windows, et de voler les cookies et les mots de passe enregistrés à partir de LSASS et des navigateurs Web Chrome, Internet Explorer, Firefox, Safari et Opera.

Il peut également utiliser des cookies stockés sur l’ordinateur de la victime pour des sites Web tels que Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki et Vkontakte afin de récolter des informations sensibles, lire les messages de ses victimes et exfiltrer des photos.

DevilsTongue peut également envoyer des messages sur certains de ces sites Web, apparaissant à tout destinataire comme étant des messages envoyés par la victime », comme l’ont découvert les chercheurs de Microsoft. « La capacité d’envoyer des messages pourrait être militarisée pour envoyer des liens malveillants à plus de victimes. . »

Cette capacité pourrait permettre aux individus malveillants utilisant le logiciel espion Candiru d’envoyer des liens ou des messages malveillants à partir des appareils de leurs victimes, ce qui rendrait presque impossible de prouver qui a transmis le message.

« Ces attaques ont largement ciblé les comptes des consommateurs, indiquant que les clients de Sourgum poursuivaient des individus en particulier », a déclaré Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft.

« Les protections que nous avons publiées cette semaine empêcheront les outils de Sourgum de fonctionner sur des ordinateurs déjà infectés et empêcheront de nouvelles infections sur les ordinateurs mis à jour et ceux exécutant Microsoft Defender Antivirus ainsi que ceux utilisant Microsoft Defender for Endpoint. »

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire