Le fabricant de logiciels de scurit Candiru fournirait ses logiciels espions des clients gouvernementaux, Pour cibler des journalistes, des dissidents politiques et les critiques du rgime

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



La socit de cyberscurit Avast a tabli un lien entre l’exploitation et Candiru, une socit de piratage base Tel-Aviv, galement connue sous le nom de Saito Tech, qui fournit ses logiciels espions des clients gouvernementaux. Nous avons rcemment dcouvert une vulnrabilit de type « zero-day » dans Google Chrome (CVE-2022-2294). Elle a t exploite dans la nature dans le but d’attaquer les utilisateurs d’Avast au Moyen-Orient. Plus prcisment, une grande partie des attaques ont eu lieu au Liban, o des journalistes taient parmi les personnes vises , dclare Atvas.


Candiru, tout comme le groupe isralien NSO, affirme que son logiciel est conu pour tre utilis par les organismes gouvernementaux et les forces de l’ordre afin de contrecarrer le terrorisme et les crimes potentiels, mais les chercheurs ont dcouvert que des rgimes autoritaires ont utilis le logiciel espion pour cibler des journalistes, des dissidents politiques et des critiques de rgimes rpressifs.

La socit base Tel-Aviv en Isral a t sanctionne par le dpartement du commerce amricain pour avoir men des activits contraires la scurit nationale des tats-Unis. Avast dit avoir observ Candiru en mars utilisant l’exploit zero-day de Chrome pour cibler des individus en Turquie, au Ymen et en Palestine ainsi que des journalistes au Liban, o Candiru a compromis un site Web utilis par les employs d’une agence de presse.

Nous ne pouvons pas dire avec certitude ce que les attaquants pouvaient rechercher, cependant, la raison pour laquelle les cybercriminels s’en prennent aux journalistes est souvent de les espionner et d’espionner les histoires sur lesquelles ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des donnes sensibles qu’ils ont partages avec la presse , a dclar Jan Vojtěek, chercheur en logiciels malveillants chez Avast. Une attaque comme celle-ci pourrait constituer une menace pour la libert de la presse .

L’exploit zero day Chrome install sur le site Web de l’agence de presse libanaise a t conu pour collecter une cinquantaine de points de donnes partir du navigateur d’une victime, notamment sa langue, son fuseau horaire, des informations sur l’cran, le type d’appareil, les plugins du navigateur et la mmoire de l’appareil, probablement pour s’assurer que seuls les appareils de ceux qui sont spcifiquement cibls ont finalement t compromis.

Lorsqu’une cible est trouve, le zero-day Chrome prend pied sur l’ordinateur de la victime afin de dlivrer la charge utile du logiciel espion, que les chercheurs ont baptis DevilsTongue.

DevilsTongue, comme d’autres logiciels espions exploits au niveau gouvernemental, peut voler le contenu du tlphone d’une victime, y compris les messages, les photos et les journaux d’appels, et suivre l’emplacement de la victime en temps rel.

Avast a divulgu la vulnrabilit, connue sous le nom de CVE-2022-2294, Google le 1er juillet, avec un correctif quelques jours plus tard, le 4 juillet, avec la sortie de Chrome 103. Rappelons que les identifiants CVE ou Common Vulnerabilities and Exposures sont des rfrences de la forme CVE-AAAA-NNNN (AAAA est l’anne de publication et NNNN un numro d’identifian et le CVE est un dictionnaire des informations publiques relatives aux vulnrabilits de scurit. Le dictionnaire est maintenu par l’organisme MITRE, soutenu par le dpartement de la Scurit intrieure des tats-Unis.

Google a dclar l’poque qu’il tait conscient qu’un exploit pour CVE-2022-2294 existe . Candiru a t expos pour la premire fois par Microsoft et Citizen Lab en juillet de l’anne dernire. Leurs conclusions ont montr que le fabricant de logiciels espions avait cibl au moins 100 activistes, journalistes et dissidents dans 10 pays.

L’entreprise connue sous le nom de « Candiru », base Tel Aviv, en Isral, est une socit mercenaire de logiciels espions qui commercialise des logiciels espions « intraables » auprs de clients gouvernementaux. Son offre de produits comprend des solutions pour espionner les ordinateurs, les appareils mobiles et les comptes cloud , a dclar Citizen Lab dans un post.

Il est intressant de noter que le site Web compromis contenait des artefacts d’attaques XSS persistantes, notamment des pages contenant des appels la fonction Javascript alert et des mots-cls comme test. Les cybercriminels auraient test la vulnrabilit XSS, avant de l’exploiter pour de bon en injectant un morceau de code qui charge un Javascript malveillant depuis un domaine contrl par l’attaquant. Ce code inject tait ensuite charg d’acheminer les victimes vises (et uniquement elles) vers le serveur d’exploitation, via plusieurs autres domaines contrls par les attaquants.

Selon Avast, Candiru a probablement fait profil bas jusqu’ cette dernire srie d’attaques, aprs la publication du rapport de Citizen Lab l’anne dernire, pour mettre jour son logiciel malveillant et chapper aux efforts de dtection.

Source : Atvas

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

89 % des entreprises ne parviennent pas protger leurs donnes, alors que les budgets augmentent pour faire face aux dfis croissants de la cyber scurit, selon une tude de Veeam

Le manque de comptences et un budget insuffisant sont les principaux obstacles la protection des donnes dans le cloud, selon un nouveau rapport de Netwrix

76 % des entreprises reconnaissent payer les auteurs de ransomwares, nanmoins un tiers d’entre elles ne parvient pas rcuprer ses donnes, selon une tude de Veeam



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.