El malware DevilsTongue sale de Israel y se dirige a personas de alto perfil
La gente a menudo imagina a los desarrolladores y usuarios de malware como hackers geek sentados en cuartos oscuros, día y noche. Sin embargo, ¿lo creerías si te dijeran que hay otro tipo de desarrolladores de malware que, de hecho, trabajan desde una oficina legítima? Este es el caso de Sourgum, una empresa con sede en Israel, que está detrás de un malware identificado como DevilsTongue. Tenga en cuenta que la extraña ocupación de los desarrolladores de este malware no es lo único sorprendente de este caso, los clientes también son muy peculiares. Sourgum está cooperando con agencias gubernamentales de todo el mundo, y es probable que sean algunos de los clientes de DevilsTongue Malware.
El malware DevilsTongue está activo en Palestina, el Reino Unido y más ...
Pero, ¿qué es DevilsTongue Malware y para qué se utiliza? Esta no es una muestra de malware ordinaria que se distribuirá a usuarios aleatorios. De hecho, apenas se han identificado un centenar de sistemas infectados. Algunas personas pensarían que se trata de un ataque de poca monta, pero es probable que cada una de las víctimas haya sido seleccionada por su papel o participación en industrias o campañas particulares. Una gran parte de las víctimas de DevilsTongue Malware tienen su sede en Palestina, pero también hay casos activos en el Reino Unido, España, Irán e Israel. Las víctimas forman parte de un amplio abanico de sectores como el académico, diplomático, mediático, etc.
No hace falta decir que DevilsTongue Malware es un proyecto bien pensado y desarrollado. Posee una amplia gama de características, así como la capacidad de identificar y evadir herramientas de seguridad particulares. Sus operadores pueden usarlo para extraer datos de los sistemas comprometidos, implementar cargas útiles adicionales, robar cookies, alterar el registro, secuestrar contraseñas y más. Una de las características interesantes de DevilsTongue Malware es la capacidad de capturar y descifrar conversaciones de Signal, una aplicación de mensajería segura.
Otra cosa que vale la pena señalar sobre la campaña DevilsTongue Malware es que los operadores de la amenaza confiaban en exploits de día cero en los productos de Windows. Rastreadas bajo los alias CVE-2021-31979 y CVE-2021-33771, las vulnerabilidades ya han sido parcheadas.
Este malware de alto perfil se informó pocos días después de que el software espía Pegasus fuera noticia una vez más debido a una filtración que contenía objetivos potenciales del grupo NSO.
