Złośliwe oprogramowanie DevilsTongue pochodzi z Izraela i atakuje głośne osoby

Ludzie często wyobrażają sobie twórców złośliwego oprogramowania i użytkowników jako geeków hakerów siedzących w ciemnych pokojach dzień i noc. Czy jednak uwierzyłbyś, gdyby powiedziano Ci, że istnieje inny rodzaj twórców złośliwego oprogramowania – którzy w rzeczywistości pracują w legalnym biurze. Tak jest w przypadku izraelskiej firmy Sourgum, która stoi za złośliwym oprogramowaniem określanym jako DevilsTongue. Należy pamiętać, że dziwne zajęcie twórców tego szkodliwego oprogramowania nie jest jedyną zaskakującą rzeczą w tej sprawie – klienci są również bardzo osobliwi. Sourgum współpracuje z agencjami rządowymi na całym świecie i prawdopodobnie są to niektórzy klienci DevilsTongue Malware.

Złośliwe oprogramowanie DevilsTongue jest aktywne w Palestynie, Wielkiej Brytanii i nie tylko...

Ale czym jest złośliwe oprogramowanie DevilsTongue i do czego służy? To nie jest zwykła próbka złośliwego oprogramowania, która zostanie rozpowszechniona wśród przypadkowych użytkowników. W rzeczywistości zidentyfikowano zaledwie sto zainfekowanych systemów. Niektórzy mogą pomyśleć, że jest to niewielki atak, ale każda z ofiar została prawdopodobnie starannie dobrana ze względu na swoją rolę lub zaangażowanie w określone branże lub kampanie. Duża część ofiar DevilsTongue Malware mieszka w Palestynie, ale są też aktywne przypadki w Wielkiej Brytanii, Hiszpanii, Iranie i Izraelu. Ofiary należą do wielu różnych sektorów, takich jak naukowcy, dyplomacja, media itp.

Nie trzeba dodawać, że DevilsTongue Malware jest dobrze przemyślanym i rozwiniętym projektem. Posiada szeroką gamę funkcji, a także możliwość identyfikacji i obchodzenia poszczególnych narzędzi bezpieczeństwa. Operatorzy mogą go używać do wydobywania danych z zaatakowanych systemów, wdrażania dodatkowych ładunków, kradzieży plików cookie, manipulowania rejestrem, przechwytywania haseł i nie tylko. Jedną z interesujących funkcji DevilsTongue Malware jest możliwość przechwytywania i odszyfrowywania rozmów z Signal, bezpiecznej aplikacji do przesyłania wiadomości.

Kolejną rzeczą wartą odnotowania w kampanii DevilsTongue Malware jest to, że operatorzy zagrożenia polegali na exploitach zero-day w produktach Windows. Śledzone pod aliasami CVE-2021-31979 i CVE-2021-33771, exploity zostały już załatane.

To głośne złośliwe oprogramowanie zostało zgłoszone zaledwie kilka dni po tym, jak oprogramowanie szpiegujące Pegasus ponownie pojawiło się w wiadomościach z powodu wycieku zawierającego potencjalne cele grupy NSO.