DevilsTongue Malware kommer från Israel, riktar sig till högt profilerade individer

Människor föreställer sig ofta utvecklare och användare av skadlig programvara som nördiga hackare som sitter i mörka rum, dag och natt. Men skulle du tro det om du fick veta att det finns en annan typ av malwareutvecklare - som faktiskt arbetar från ett legitimt kontor. Detta är fallet med Sourgum, ett israeliskt företag, som står bakom en bit av skadlig kod som identifierats som DevilsTongue. Tänk på att den udda ockupationen hos utvecklarna av detta skadliga program inte är den enda överraskande saken i detta fall - kunderna är också väldigt märkliga. Sourgum samarbetar med myndigheter över hela världen, och de är sannolikt några av klienterna till DevilsTongue Malware.

DevilsTongue Malware är aktivt i Palestina, Storbritannien och mer ...

Men vad är DevilsTongue Malware och vad används det till? Detta är inte ett vanligt skadeprover som kommer att spridas till slumpmässiga användare. Faktum är att knappt hundra infekterade system har identifierats. Vissa människor skulle tro att det här är en attack i mindre tid, men vart och ett av offren har förmodligen handplockats på grund av sin roll eller sitt engagemang i vissa branscher eller kampanjer. En stor del av DevilsTongue Malwares offer är baserade i Palestina, men det finns också aktiva fall i Storbritannien, Spanien, Iran och Israel. Offren är en del av ett brett spektrum av sektorer som akademiker, diplomat, media, etc.

Det behöver inte sägas att DevilsTongue Malware är ett väl genomtänkt och utvecklat projekt. Den har ett brett utbud av funktioner samt förmågan att identifiera och undvika specifika säkerhetsverktyg. Dess operatörer kan använda den för att extrahera data från de komprometterade systemen, distribuera ytterligare nyttolast, stjäla kakor, manipulera med registret, kapa lösenord och mer. En av DevilsTongue Malwares intressanta funktioner är möjligheten att fånga och dekryptera konversationer från Signal, en säker meddelandeapp.

En annan sak som är värt att notera om DevilsTongue Malware-kampanjen är att operatörerna av hotet förlitar sig på nolldagens exploatering i Windows-produkter. Spåras under aliasen CVE-2021-31979 och CVE-2021-33771 har exploateringarna redan patchats.

Den här högprofilerade skadliga programvaran rapporterades bara några dagar efter att Pegasus spionprogram ännu en gång gjorde nyheterna på grund av en läcka som innehåller potentiella mål för NSO-gruppen.