Microsoft ha scoperto con l’aiuto di Citizen Lab un malware che sfruttava due vulnerabilità zero-day di Windows per spiare oltre 100 vittime nel mondo, molte delle quali sono attivisti, giornalisti, politici, dissidenti e accademici. Lo spyware DevilsTongue è stato venduto a vari governi da Candiru, un’azienda israeliana (Microsoft ha usato il nome Sourgum). I due bug sono stati corretti con le patch del 13 luglio.
DevilsTongue: spyware in vendita
Microsoft ha evidenziato la pericolosità delle cyber-armi vendute da aziende private ai governi che vogliono spiare determinate persone. Come già successo in passato, questi malware possono finire nelle mani di cybercriminali senza scrupoli che eseguono attacchi su larga scala, non solo contro un numero limitato di vittime. L’azienda di Redmond ha chiuso le falle di sicurezza in Windows (identificate con CVE-2021-31979 e CVE-2021-33771) e aggiornato le sue soluzioni di sicurezza per privati e aziende (Microsoft Defender Antivirus e Microsoft Defender for Endpoint).
DevilsTongue utilizza una catena di exploit per browser e Windows. L’exploit per browser viene distribuito attraverso URL inviate alle app di messaggistica, tra cui WhatsApp. Le due vulnerabilità zero-day di Windows consentivano di ottenere privilegi elevati, aggirare la sandbox dei browser ed eseguire codice sul computer della vittima.
Le funzionalità di DevilsTongue sono quelle tipiche di uno spyware. I clienti dell’azienda israeliana potevano accedere ai file, rubare i messaggi di Signal, recuperare le password salvate nei principali browser (Chrome, Firefox, Edge, Safari e Opera) e inviare messaggi per conto della vittima sui social network o via email.
Microsoft consiglia dunque di aggiornare il sistema operativo e Defender Antivirus per chiudere le “porte” ad eventuali attacchi ed eliminare il malware dal computer.