Pegasus, sviluppato da NSO Group, è sicuramente lo spyware commerciale più noto. Dopo alcuni mesi di silenzio, i ricercatori di Avast hanno scoperto il ritorno di un’altra azienda israeliana (Candiru) e del suo DevilsTongue. Diversi attacchi sono stati effettuati contro giornalisti in Medio Oriente, sfruttando una vulnerabilità zero-day di Google Chrome. Lo spyware viene rilevato e bloccato da Avast Premium Security.
Bug di Chrome sfruttato per spionaggio
All’inizio del mese, Google ha rilasciato un aggiornamento per Chrome che risolve una vulnerabilità zero-day in WebRTC. I ricercatori di Avast, gli scopritori del problema di sicurezza, hanno fornito maggiori dettagli sull’attacco che sfrutta il bug presente anche in Microsoft Edge e Apple Safari.
Ignoti cybercriminali hanno utilizzato DevilsTongue attraverso un attacco “watering hole” contro un sito utilizzato dai dipendenti di un’agenzia di stampa. In particolare è stato installato un codice JavaScript che effettua il redirecting verso il server controllato dai malintenzionati. Viene quindi creato un profilo degli utenti attraverso la raccolta di numerose informazioni.
La vulnerabilità zero-day di WebRTC permette di eseguire shellcode all’interno del processo di renderer di Chrome. Al termine della catena di infezione, DevilsTongue installa un driver che consente di ottenere l’accesso alla memoria. Probabilmente lo scopo dei cybercriminali è spiare i giornalisti per scoprire le storie su cui stavano lavorando o per rubare informazioni sensibili dai computer.
Questo tipo di attacco è piuttosto pericoloso, in quanto le vittime non devono cliccare nessun link. È sufficiente aprire il sito compromesso con Chrome. Per questo motivo è fortemente consigliata l’installazione degli aggiornamenti e di una soluzione di sicurezza come Avast Premium Security.