Candiru Spyware Tertangkap Mengeksploitasi Google Chrome Zero-Day untuk Menargetkan Jurnalis

Candiru Spyware Chrome Exploit

Cacat zero-day Google Chrome yang dieksploitasi secara aktif tetapi sekarang diperbaiki yang terungkap pada awal bulan ini dipersenjatai oleh perusahaan spyware Israel dan digunakan dalam serangan yang menargetkan jurnalis di Timur Tengah.

Perusahaan keamanan siber Ceko, Avast, mengaitkan eksploitasi dengan Candiru (alias Saito Tech), yang memiliki sejarah memanfaatkan kelemahan yang sebelumnya tidak diketahui untuk menyebarkan malware Windows yang dijuluki IblisLidahimplan modular dengan kemampuan seperti Pegasus.

Candiru, bersama dengan NSO Group, Computer Security Initiative Consultancy PTE. LTD., dan Positive Technologies, ditambahkan ke daftar entitas oleh Departemen Perdagangan AS pada November 2021 karena terlibat dalam “aktivitas dunia maya yang berbahaya.”

“Secara khusus, sebagian besar serangan terjadi di Lebanon, di mana wartawan termasuk di antara pihak-pihak yang menjadi sasaran,” kata peneliti keamanan Jan Vojtěšek, yang melaporkan penemuan cacat itu, dalam sebuah tulisan. “Kami yakin serangan itu sangat ditargetkan.”

Keamanan cyber

Kerentanan yang dimaksud adalah CVE-2022-2294, kerusakan memori pada komponen WebRTC dari browser Google Chrome yang dapat menyebabkan eksekusi shellcode. Itu ditangani oleh Google pada 4 Juli 2022. Masalah yang sama sejak itu telah ditambal oleh Apple dan Microsoft di browser Safari dan Edge.

Temuan ini menjelaskan beberapa kampanye serangan yang dipasang oleh vendor hack-for-hire Israel, yang dikatakan telah kembali dengan toolset yang dirubah pada Maret 2022 untuk menargetkan pengguna di Lebanon, Turki, Yaman, dan Palestina melalui serangan lubang berair menggunakan nol eksploitasi -hari untuk Google Chrome.

Spyware Candiru

Urutan infeksi yang terlihat di Lebanon dimulai dengan penyerang mengkompromikan situs web yang digunakan oleh karyawan kantor berita untuk menyuntikkan kode JavaScript berbahaya dari domain yang dikendalikan aktor yang bertanggung jawab untuk mengarahkan calon korban ke server eksploit.

Related Post :   Peneliti Menemukan Serangan Malware Baru yang Menargetkan Entitas Pemerintah Rusia

Melalui teknik lubang air ini, profil browser korban, yang terdiri dari sekitar 50 titik data, dibuat, termasuk detail seperti bahasa, zona waktu, informasi layar, jenis perangkat, plugin browser, perujuk, dan memori perangkat, antara lain.

Avast menilai informasi yang dikumpulkan untuk memastikan bahwa eksploitasi dikirim hanya ke target yang diinginkan. Jika data yang dikumpulkan dianggap berharga oleh peretas, eksploitasi zero-day kemudian dikirim ke mesin korban melalui saluran terenkripsi.

Keamanan cyber

Eksploitasi, pada gilirannya, menyalahgunakan heap buffer overflow di WebRTC untuk mencapai eksekusi shellcode. Cacat zero-day dikatakan telah dirantai dengan eksploitasi sandbox escape (yang tidak pernah dipulihkan) untuk mendapatkan pijakan awal, menggunakannya untuk menjatuhkan muatan DevilsTongue.

Sementara malware canggih mampu merekam webcam dan mikrofon korban, keylogging, exfiltrating pesan, riwayat penelusuran, kata sandi, lokasi, dan banyak lagi, ia juga telah diamati mencoba meningkatkan hak istimewanya dengan menginstal driver kernel yang ditandatangani yang rentan (“HW .sys”) berisi eksploitasi zero-day ketiga.

Awal Januari ini, ESET menjelaskan bagaimana driver kernel yang ditandatangani yang rentan – sebuah pendekatan yang disebut Bring Your Own Vulnerable Driver (BYOVD) – dapat menjadi gerbang yang tidak dijaga bagi aktor jahat untuk mendapatkan akses yang tertanam ke mesin Windows.

Pengungkapan itu muncul seminggu setelah Proofpoint mengungkapkan bahwa kelompok peretas negara-bangsa yang bersekutu dengan China, Iran, Korea Utara, dan Turki telah menargetkan jurnalis untuk melakukan spionase dan menyebarkan malware sejak awal 2021.

Related Post :   Peneliti MIT Menemukan Kelemahan Baru di CPU Apple M1 yang Tidak Dapat Ditambal


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.