Il malware DevilsTongue esce da Israele e prende di mira individui di alto profilo

Le persone spesso immaginano gli sviluppatori e gli utenti di malware come hacker geek seduti in stanze buie, giorno e notte. Tuttavia, ci crederesti se ti venisse detto che esiste un altro tipo di sviluppatori di malware, che in effetti lavorano da un ufficio legittimo. Questo è il caso di Sourgum, una società con sede in Israele, che sta dietro a un malware identificato come DevilsTongue. Tieni presente che la strana occupazione degli sviluppatori di questo malware non è l'unica cosa sorprendente di questo caso: anche i clienti sono molto particolari. Sourgum sta collaborando con agenzie governative di tutto il mondo e probabilmente saranno alcuni dei clienti di DevilsTongue Malware.

Il malware DevilsTongue è attivo in Palestina, nel Regno Unito e altro ancora...

Ma cos'è il DevilsTongue Malware e a cosa serve? Questo non è un normale campione di malware che verrà diffuso a utenti casuali. In effetti, sono stati identificati appena un centinaio di sistemi infetti. Alcune persone potrebbero pensare che si tratti di un attacco di poco conto, ma probabilmente ognuna delle vittime è stata scelta a causa del loro ruolo o coinvolgimento in particolari industrie o campagne. Una gran parte delle vittime di DevilsTongue Malware ha sede in Palestina, ma ci sono anche casi attivi nel Regno Unito, in Spagna, in Iran e in Israele. Le vittime fanno parte di una vasta gamma di settori come accademici, diplomatici, media, ecc.

Inutile dire che DevilsTongue Malware è un progetto ben congegnato e sviluppato. Possiede una vasta gamma di funzionalità, nonché la capacità di identificare ed eludere particolari strumenti di sicurezza. I suoi operatori possono utilizzarlo per estrarre dati dai sistemi compromessi, distribuire payload aggiuntivi, rubare cookie, manomettere il registro, dirottare le password e altro ancora. Una delle caratteristiche interessanti di DevilsTongue Malware è la capacità di catturare e decifrare le conversazioni da Signal, un'app di messaggistica sicura.

Un'altra cosa degna di nota della campagna DevilsTongue Malware è che gli operatori della minaccia facevano affidamento su exploit zero-day nei prodotti Windows. Tracciati sotto gli alias CVE-2021-31979 e CVE-2021-33771, gli exploit sono già stati corretti.

Questo malware di alto profilo è stato segnalato pochi giorni dopo che lo spyware Pegasus ha fatto notizia ancora una volta a causa di una fuga di notizie che conteneva potenziali obiettivi del gruppo NSO.