DevilsTongue Malware kommer ut av Israel, målretter høyprofilerte individer
Folk forestiller seg ofte malwareutviklere og brukere som nerdete hackere som sitter i mørke rom, dag og natt. Men vil du tro det hvis du ble fortalt at det finnes en annen type malwareutviklere - som faktisk jobber fra et legitimt kontor. Dette er tilfellet med Sourgum, et israelsk selskap, som står bak et stykke malware identifisert som DevilsTongue. Husk at den rare eiendommen til utviklerne av denne skadelige programvaren ikke er det eneste overraskende ved denne saken - kundene er også veldig merkelige. Sourgum samarbeider med offentlige etater over hele verden, og de er sannsynligvis noen av klientene til DevilsTongue Malware.
DevilsTongue Malware er aktiv i Palestina, Storbritannia og mer ...
Men hva er DevilsTongue Malware og hva brukes det til? Dette er ikke et vanlig utvalg av skadelig programvare som vil bli spredt til tilfeldige brukere. Faktisk har knapt hundre infiserte systemer blitt identifisert. Noen mennesker vil tro at dette er et lite angrep, men hvert av ofrene er sannsynligvis blitt håndplukket på grunn av sin rolle eller involvering i bestemte bransjer eller kampanjer. En stor del av DevilsTongue Malwares ofre er basert i Palestina, men det er også aktive saker i Storbritannia, Spania, Iran og Israel. Ofrene er en del av et bredt spekter av sektorer som akademikere, diplomatiske, medier osv.
Unødvendig å si, DevilsTongue Malware er et velutviklet og utviklet prosjekt. Den har et bredt spekter av funksjoner, samt muligheten til å identifisere og unngå bestemte sikkerhetsverktøy. Operatørene kan bruke den til å trekke ut data fra kompromitterte systemer, distribuere ekstra nyttelast, stjele informasjonskapsler, tukle med registeret, kapre passord og mer. En av DevilsTongue Malwares interessante funksjoner er muligheten til å fange og dekryptere samtaler fra Signal, en sikker meldingsapp.
En annen ting som er verdt å merke seg om DevilsTongue Malware-kampanjen er at operatørene av trusselen stole på null-dagers utnyttelse i Windows-produkter. Sporet under aliasene CVE-2021-31979 og CVE-2021-33771, har utnyttelsene allerede blitt lappet.
Denne høyprofilerte skadeprogrammet ble rapportert bare noen dager etter at Pegasus-spionprogrammet kom med nyheten på nytt på grunn av en lekkasje som inneholder potensielle mål for NSO-gruppen.