Le groupe d’analyse des menaces (TAG) de Google a point\u00e9 jeudi du doigt un d\u00e9veloppeur de logiciels espions nord-mac\u00e9donien nomm\u00e9 Cytrox pour avoir d\u00e9velopp\u00e9 des exploits contre cinq failles zero-day (aka 0-day), quatre dans Chrome et une dans Android, pour cibler les utilisateurs d’Android.<\/p>\n
“Les exploits 0-day ont \u00e9t\u00e9 utilis\u00e9s parall\u00e8lement aux exploits n-day car les d\u00e9veloppeurs ont profit\u00e9 de la diff\u00e9rence de temps entre le moment o\u00f9 certains bogues critiques ont \u00e9t\u00e9 corrig\u00e9s mais non signal\u00e9s comme des probl\u00e8mes de s\u00e9curit\u00e9 et le moment o\u00f9 ces correctifs ont \u00e9t\u00e9 enti\u00e8rement d\u00e9ploy\u00e9s dans l’\u00e9cosyst\u00e8me Android”, ont d\u00e9clar\u00e9 les chercheurs du TAG. Cl\u00e9ment Lecign\u00e9 et Christian Resell mentionn\u00e9<\/a>.<\/p>\n Cytrox aurait emball\u00e9 les exploits et les aurait vendus \u00e0 diff\u00e9rents acteurs soutenus par le gouvernement situ\u00e9s en \u00c9gypte, en Arm\u00e9nie, en Gr\u00e8ce, \u00e0 Madagascar, en C\u00f4te d’Ivoire, en Serbie, en Espagne et en Indon\u00e9sie, qui, \u00e0 leur tour, ont transform\u00e9 les bogues en au moins trois campagnes diff\u00e9rentes.<\/p>\n La soci\u00e9t\u00e9 de surveillance commerciale est le fabricant de Pr\u00e9dateur<\/a>un implant analogue<\/a> \u00e0 celui de Pegasus du groupe NSO, et est connu pour avoir d\u00e9velopp\u00e9 des outils qui permettent \u00e0 ses clients de p\u00e9n\u00e9trer les appareils iOS et Android.<\/p>\n En d\u00e9cembre 2021, Meta Platforms (anciennement Facebook) a r\u00e9v\u00e9l\u00e9 qu’elle avait agi pour supprimer environ 300 comptes sur Facebook et Instagram que l’entreprise utilisait dans le cadre de ses campagnes de compromis.<\/p>\n La liste des cinq failles zero-day exploit\u00e9es dans Chrome et Android est ci-dessous –<\/p>\n Selon TAG, les trois campagnes en question ont commenc\u00e9 par un e-mail de harponnage contenant des liens uniques imitant des services de raccourcissement d’URL qui, une fois cliqu\u00e9s, redirigent les cibles vers un domaine escroc qui abandonne les exploits avant d’emmener la victime vers un domaine l\u00e9gitime. site.<\/p>\n “Les campagnes \u00e9taient limit\u00e9es – dans chaque cas, nous \u00e9valuons le nombre de cibles \u00e0 des dizaines d’utilisateurs”, ont not\u00e9 Lecigne et Resell. “Si le lien n’\u00e9tait pas actif, l’utilisateur \u00e9tait directement redirig\u00e9 vers un site Web l\u00e9gitime.”<\/p>\n Le but ultime de l’op\u00e9ration, ont estim\u00e9 les chercheurs, \u00e9tait de distribuer un logiciel malveillant appel\u00e9 Alien, qui agit comme un pr\u00e9curseur pour charger Predator sur des appareils Android infect\u00e9s.<\/p>\n Le malware “simple”, qui re\u00e7oit des commandes de Predator via un m\u00e9canisme de communication inter-processus (IPC), est con\u00e7u pour enregistrer de l’audio, ajouter des certificats CA et masquer des applications pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n La premi\u00e8re des trois campagnes a eu lieu en ao\u00fbt 2021. Elle a utilis\u00e9 Google Chrome comme point de d\u00e9part sur un appareil Samsung Galaxy S21 pour forcer le navigateur \u00e0 charger une autre URL dans le navigateur Internet Samsung sans n\u00e9cessiter d’interaction de l’utilisateur en exploitant CVE-2021- 38000.<\/p>\n Une autre intrusion, qui s’est produite un mois plus tard et a \u00e9t\u00e9 livr\u00e9e \u00e0 un Samsung Galaxy S10 \u00e0 jour, impliquait une cha\u00eene d’exploitation utilisant CVE-2021-37973 et CVE-2021-37976 pour \u00e9chapper au Bac \u00e0 sable chrom\u00e9<\/a> (\u00e0 ne pas confondre avec Privacy Sandbox), en l’utilisant pour supprimer un deuxi\u00e8me exploit afin d’\u00e9lever les privil\u00e8ges et de d\u00e9ployer la porte d\u00e9rob\u00e9e.<\/p>\n La troisi\u00e8me campagne – un exploit complet d’Android 0-day – a \u00e9t\u00e9 d\u00e9tect\u00e9e en octobre 2021 sur un t\u00e9l\u00e9phone Samsung \u00e0 jour ex\u00e9cutant la derni\u00e8re version de Chrome. Il a combin\u00e9 deux failles, CVE-2021-38003 et CVE-2021-1048, pour \u00e9chapper au bac \u00e0 sable et compromettre le syst\u00e8me en injectant du code malveillant dans des processus privil\u00e9gi\u00e9s.<\/p>\n Google TAG a soulign\u00e9 que bien que CVE-2021-1048 ait \u00e9t\u00e9 corrig\u00e9 dans le noyau Linux en septembre 2020, il n’a \u00e9t\u00e9 r\u00e9troport\u00e9 sur Android que l’ann\u00e9e derni\u00e8re car le r\u00e9parer<\/a> n’a pas \u00e9t\u00e9 marqu\u00e9 comme un probl\u00e8me de s\u00e9curit\u00e9.<\/p>\n “Les attaquants recherchent activement et profitent de ces vuln\u00e9rabilit\u00e9s \u00e0 correction lente”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “Lutter contre les pratiques n\u00e9fastes de l’industrie de la surveillance commerciale n\u00e9cessitera une approche solide et globale qui inclut la coop\u00e9ration entre les \u00e9quipes de renseignement sur les menaces, les d\u00e9fenseurs des r\u00e9seaux, les chercheurs universitaires et les plateformes technologiques.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n