DevilsTongue Malware kommer ud af Israel, målretter højt profilerede personer

Folk forestiller sig ofte malwareudviklere og brugere som nørdede hackere, der sidder i mørke rum, dag og nat. Men ville du tro det, hvis du fik at vide, at der er en anden type malwareudviklere - som faktisk arbejder fra et legitimt kontor. Dette er tilfældet med Sourgum, et israelsk firma, der står bag et stykke malware identificeret som DevilsTongue. Husk, at den ulige besættelse af udviklerne af denne malware ikke er den eneste overraskende ved denne sag - kunderne er også meget ejendommelige. Sourgum samarbejder med regeringsorganer over hele verden, og de er sandsynligvis nogle af klienterne til DevilsTongue Malware.

DevilsTongue Malware er aktiv i Palæstina, Storbritannien og mere ...

Men hvad er DevilsTongue Malware, og hvad bruges det til? Dette er ikke en almindelig malware-prøve, der spredes til tilfældige brugere. Faktisk er knap hundrede inficerede systemer blevet identificeret. Nogle mennesker tror, at dette er et angreb i mindre tid, men hvert af ofrene er sandsynligvis blevet håndplukket på grund af deres rolle eller involvering i bestemte brancher eller kampagner. En stor del af DevilsTongue Malwares ofre er baseret i Palæstina, men der er også aktive sager i Storbritannien, Spanien, Iran og Israel. Ofrene er en del af en lang række sektorer såsom akademikere, diplomatiske, medier osv.

Det er overflødigt at sige, at DevilsTongue Malware er et veludviklet og udviklet projekt. Det har en bred vifte af funktioner såvel som evnen til at identificere og undgå bestemte sikkerhedsværktøjer. Dets operatører kan bruge det til at udtrække data fra de kompromitterede systemer, implementere yderligere nyttelast, stjæle cookies, manipulere med registreringsdatabasen, kapre adgangskoder og mere. En af DevilsTongue Malwares interessante funktioner er evnen til at fange og dekryptere samtaler fra Signal, en sikker messaging-app.

En anden ting, der er værd at bemærke ved DevilsTongue Malware-kampagnen, er, at operatørerne af truslen var afhængige af nul-dags udnyttelse i Windows-produkter. Sporet under aliaserne CVE-2021-31979 og CVE-2021-33771, er exploits allerede blevet patched.

Denne højt profilerede malware blev rapporteret kun få dage efter, at Pegasus spyware kom endnu en gang på grund af en lækage, der indeholdt potentielle mål for NSO-gruppen.