Candiru sfrutta bug di Chrome per spiare gli utenti

Candiru sfrutta bug di Chrome per spiare gli utenti

I ricercatori di Avast hanno scoperto un attacco effettuato contro alcuni giornalisti con lo spyware di Candiru, sfruttando un bug di Google Chrome.
Candiru sfrutta bug di Chrome per spiare gli utenti
I ricercatori di Avast hanno scoperto un attacco effettuato contro alcuni giornalisti con lo spyware di Candiru, sfruttando un bug di Google Chrome.

Pegasus, sviluppato da NSO Group, è sicuramente lo spyware commerciale più noto. Dopo alcuni mesi di silenzio, i ricercatori di Avast hanno scoperto il ritorno di un’altra azienda israeliana (Candiru) e del suo DevilsTongue. Diversi attacchi sono stati effettuati contro giornalisti in Medio Oriente, sfruttando una vulnerabilità zero-day di Google Chrome. Lo spyware viene rilevato e bloccato da Avast Premium Security.

Bug di Chrome sfruttato per spionaggio

All’inizio del mese, Google ha rilasciato un aggiornamento per Chrome che risolve una vulnerabilità zero-day in WebRTC. I ricercatori di Avast, gli scopritori del problema di sicurezza, hanno fornito maggiori dettagli sull’attacco che sfrutta il bug presente anche in Microsoft Edge e Apple Safari.

Ignoti cybercriminali hanno utilizzato DevilsTongue attraverso un attacco “watering hole” contro un sito utilizzato dai dipendenti di un’agenzia di stampa. In particolare è stato installato un codice JavaScript che effettua il redirecting verso il server controllato dai malintenzionati. Viene quindi creato un profilo degli utenti attraverso la raccolta di numerose informazioni.

La vulnerabilità zero-day di WebRTC permette di eseguire shellcode all’interno del processo di renderer di Chrome. Al termine della catena di infezione, DevilsTongue installa un driver che consente di ottenere l’accesso alla memoria. Probabilmente lo scopo dei cybercriminali è spiare i giornalisti per scoprire le storie su cui stavano lavorando o per rubare informazioni sensibili dai computer.

Questo tipo di attacco è piuttosto pericoloso, in quanto le vittime non devono cliccare nessun link. È sufficiente aprire il sito compromesso con Chrome. Per questo motivo è fortemente consigliata l’installazione degli aggiornamenti e di una soluzione di sicurezza come Avast Premium Security.

Fonte: Avast
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 lug 2022
Link copiato negli appunti