DevilsTongue spyware
Az Avast kutatói publikálták a Google Chrome nulladik napi sebezhetőségét kihasználó, a Candiru izraeli kémprogram-gyártó által fejlesztett DevilsTongue kémprogram működését. A Google július negyedikén javította a CVE-2022-2294 sérülékenységet az Avast bejelentése alapján.
Az Avast szerint a Candiru 2022 márciusában kezdte el kihasználni a CVE-2022-2294-et, libanoni, törökországi, jemeni és palesztinai felhasználókat célozva meg, akik között több újságíró is volt. A kémprogram-üzemeltetői feltörték a célpontjaik által látogatott weboldalakat és a böngésző sérülékenységét kihasználva telepítették a kémprogramjukat. A támadás azért érdemel kiemelt figyelmet, mert nem szükséges hozzá felhasználói interakció, nem kell letölteni, megnyitni, kattintani semmi kártékony linkre, elég a weboldalra látogatni egy Google Chrome, vagy egy másik Chromium-alapú böngészővel. A használt weboldalak is valós, legális oldalak, amelyeket vagy feltörtek, vagy a kémprogram-üzemeltetői hoztak létre és népszerűsítették a célszemélyekre szabottan.
Egy esetben a támadók feltörtek egy libanoni hírügynökség által használt weboldalt és olyan JavaScript-et telepítettek, amely lehetővé tette az XXS (cross-site scripting) támadásokat, és átirányították a kommunikációt a saját szervereikre. A szerveren profilozták a látogatókat a kiszűrt adatok alapján, ami többek között az áldozat nyelvét, időzónáját, képernyőinformációit, eszköztípusát, böngészőbővítményeit, hivatkozóit, az eszköz memóriáját is tartalmazta.
A kezdeti fertőzés után a DevilsTongue egy BYOVD (saját illesztőprogram használata) lépést használt, hogy a jogosultságait emelje és olvasási és írási hozzáférést nyerjen a feltört eszköz memóriájához. Az Avast felfedezte, hogy a Candiru által használt BYOVD is nulladik nap volt, és még ha a gyártó biztonsági frissítést is ad ki, az nem befolyásolja a kémprogramok működését.