La faille zero-day de Google Chrome activement exploit\u00e9e mais maintenant corrig\u00e9e qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e au d\u00e9but de ce mois a \u00e9t\u00e9 militaris\u00e9e par une soci\u00e9t\u00e9 de logiciels espions isra\u00e9lienne et utilis\u00e9e dans des attaques visant des journalistes au Moyen-Orient.<\/p>\n
La soci\u00e9t\u00e9 tch\u00e8que de cybers\u00e9curit\u00e9 Avast a li\u00e9 l’exploitation \u00e0 Candiru (alias Saito Tech), qui a l’habitude d’exploiter des failles jusque-l\u00e0 inconnues pour d\u00e9ployer un malware Windows surnomm\u00e9 DevilsLangue<\/b>un implant modulaire avec des capacit\u00e9s de type Pegasus.<\/p>\n
Candiru, avec NSO Group, Computer Security Initiative Consultancy PTE. LTD., et Positive Technologies, ont \u00e9t\u00e9 ajout\u00e9es \u00e0 la liste des entit\u00e9s par le d\u00e9partement am\u00e9ricain du Commerce en novembre 2021 pour s’\u00eatre livr\u00e9es \u00e0 des \u00ab cyberactivit\u00e9s malveillantes \u00bb.<\/p>\n
“Plus pr\u00e9cis\u00e9ment, une grande partie des attaques ont eu lieu au Liban, o\u00f9 les journalistes figuraient parmi les parties vis\u00e9es”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Jan Vojt\u011b\u0161ek, qui a rapport\u00e9 la d\u00e9couverte de la faille, a dit<\/a> dans un \u00e9crit. “Nous pensons que les attaques \u00e9taient tr\u00e8s cibl\u00e9es.”<\/p>\n La vuln\u00e9rabilit\u00e9 en question est CVE-2022-2294, corruption de m\u00e9moire dans le WebRTC<\/a> composant du navigateur Google Chrome pouvant entra\u00eener l’ex\u00e9cution de shellcode. Il a \u00e9t\u00e9 r\u00e9solu par Google le 4 juillet 2022. Le m\u00eame probl\u00e8me a depuis \u00e9t\u00e9 corrig\u00e9 par Apple et Microsoft dans les navigateurs Safari et Edge.<\/p>\n Les r\u00e9sultats ont mis en lumi\u00e8re de multiples campagnes d’attaques mont\u00e9es par le fournisseur isra\u00e9lien de hack pour compte d’autrui, qui serait revenu avec un ensemble d’outils remani\u00e9 en mars 2022 pour cibler les utilisateurs au Liban, en Turquie, au Y\u00e9men et en Palestine via des attaques de point d’eau utilisant z\u00e9ro Exploits de jour pour Google Chrome.<\/p>\n La s\u00e9quence d’infection rep\u00e9r\u00e9e au Liban a commenc\u00e9 avec les attaquants compromettant un site Web utilis\u00e9 par les employ\u00e9s d’une agence de presse pour injecter du code JavaScript malveillant \u00e0 partir d’un domaine contr\u00f4l\u00e9 par un acteur qui est charg\u00e9 de rediriger les victimes potentielles vers un serveur d’exploitation.<\/p>\n Gr\u00e2ce \u00e0 cette technique de point d’eau, un profil du navigateur de la victime, compos\u00e9 d’environ 50 points de donn\u00e9es, est cr\u00e9\u00e9, y compris des d\u00e9tails tels que la langue, le fuseau horaire, les informations sur l’\u00e9cran, le type d’appareil, les plugins du navigateur, le r\u00e9f\u00e9rent et la m\u00e9moire de l’appareil, entre autres.<\/p>\n Avast a \u00e9valu\u00e9 que les informations avaient \u00e9t\u00e9 recueillies pour s’assurer que l’exploit n’\u00e9tait diffus\u00e9 qu’aux cibles vis\u00e9es. Si les donn\u00e9es collect\u00e9es sont jug\u00e9es utiles par les pirates, l’exploit zero-day est ensuite transmis \u00e0 la machine de la victime via un canal crypt\u00e9.<\/p>\n L’exploit, \u00e0 son tour, abuse du d\u00e9passement de m\u00e9moire tampon dans WebRTC pour atteindre l’ex\u00e9cution du shellcode. La faille zero-day aurait \u00e9t\u00e9 encha\u00een\u00e9e avec un exploit d’\u00e9vasion de bac \u00e0 sable (qui n’a jamais \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9) pour prendre un pied initial, en l’utilisant pour supprimer la charge utile DevilsTongue.<\/p>\n Alors que le logiciel malveillant sophistiqu\u00e9 est capable d’enregistrer la webcam et le microphone de la victime, l’enregistrement des frappes, l’exfiltration des messages, l’historique de navigation, les mots de passe, les emplacements et bien plus encore, il a \u00e9galement \u00e9t\u00e9 observ\u00e9 qu’il tentait d’\u00e9lever ses privil\u00e8ges en installant un pilote de noyau sign\u00e9 vuln\u00e9rable (“HW.sys<\/a>“) contenant un troisi\u00e8me exploit zero-day.<\/p>\n Plus t\u00f4t en janvier, ESET expliqu\u00e9<\/a> la vuln\u00e9rabilit\u00e9 des pilotes de noyau sign\u00e9s – une approche appel\u00e9e Bring Your Own Vulnerable Driver (BYOVD<\/a>) – peuvent devenir des passerelles non prot\u00e9g\u00e9es permettant aux acteurs malveillants d’acc\u00e9der aux machines Windows. <\/p>\n La divulgation intervient une semaine apr\u00e8s que Proofpoint a r\u00e9v\u00e9l\u00e9 que des groupes de piratage d’\u00c9tats-nations align\u00e9s sur la Chine, l’Iran, la Cor\u00e9e du Nord et la Turquie ciblaient les journalistes pour espionner et diffuser des logiciels malveillants depuis le d\u00e9but de 2021.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\")
<\/a><\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658517093_75_Le-logiciel-espion-Candiru-surpris-en-train-dexploiter-le-jour.jpg\" "\\"Logiciel")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\")
<\/a><\/div>\n