Ο Ισραηλινός προμηθευτής λογισμικού κατασκοπείας Candiru βρέθηκε να χρησιμοποιεί μια ευπάθεια zero-day στο Google Chrome για να κατασκοπεύει δημοσιογράφους και άλλα άτομα υψηλού ενδιαφέροντος στη Μέση Ανατολή με το spyware «DevilsTongue».
Το ελάττωμα που παρακολουθείται ως CVE-2022-2294 είναι μια υπερχείλιση buffer βασισμένη σε σωρό υψηλής σοβαρότητας στο WebRTC, η οποία, εάν γίνει επιτυχής εκμετάλλευση, μπορεί να οδηγήσει σε εκτέλεση κώδικα στη συσκευή-στόχο.
Όταν η Google διορθώθηκε το zero-day στις 4 Ιουλίου, αποκάλυψε ότι το ελάττωμα ήταν υπό ενεργή εκμετάλλευση, αλλά δεν έδωσε περισσότερες λεπτομέρειες.
Σε μια αναφορά που δημοσιεύτηκε νωρίτερα σήμερα, οι ερευνητές απειλών της Avast, που ανακάλυψαν την ευπάθεια και την ανέφεραν στην Google, αποκαλύπτουν ότι την ανακάλυψαν μετά από έρευνα για επιθέσεις spyware στους πελάτες τους.
Πολλαπλές καμπάνιες και μέθοδοι παράδοσης
Σύμφωνα με την Avast, η Candiru άρχισε να εκμεταλλεύεται το CVE-2022-2294 τον Μάρτιο του 2022, στοχεύοντας χρήστες στον Λίβανο, την Τουρκία, την Υεμένη και την Παλαιστίνη.
Οι χειριστές λογισμικού υποκλοπής χρησιμοποίησαν κοινές τακτικές επίθεσης, παραβιάζοντας έναν ιστότοπο που θα επισκεφτούν οι στόχοι τους και εκμεταλλευόμενοι μια άγνωστη ευπάθεια στο πρόγραμμα περιήγησης για να τους μολύνουν με λογισμικό υποκλοπής.
Αυτή η επίθεση είναι ιδιαίτερα άσχημη επειδή δεν απαιτεί αλληλεπίδραση με το θύμα, όπως κλικ σε έναν σύνδεσμο ή λήψη κάτι. Αντίθετα, το μόνο που χρειάζεται είναι να ανοίξουν τον ιστότοπο στο Google Chrome ή σε άλλο πρόγραμμα περιήγησης που βασίζεται στο Chromium.
Αυτοί οι ιστότοποι μπορεί είτε να είναι νόμιμοι που παραβιάστηκαν με κάποιο τρόπο ή δημιουργήθηκαν από τους παράγοντες της απειλής και προωθήθηκαν μέσω ψαρέματος (spear phishing) ή άλλων μεθόδων.