DevilsTongue Malware
DevilsTongue Malware es una amenaza modular escrita en C y C ++. DevilsTongue Malware posee varias capacidades complejas de ofuscación y persistencia que hacen que la amenaza sea más difícil de detectar y analizar. Por ejemplo, la funcionalidad principal de DevilTongue está contenida dentro de los archivos .DLL que están encriptados en el disco y desencriptados solo en la memoria. El mecanismo de persistencia del malware garantiza que el proceso svchost.exe cargue la DLL de la amenaza sin dejar cambios notables en la funcionalidad del sistema comprometido.
Una vez establecido, DevilsTongue puede ejecutarse en modo de usuario o kernel y puede realizar una variedad de acciones dañinas. Puede recopilar los archivos elegidos, ejecutar el comando WMI, consultar las bases de datos SQLite y el Registro del sistema. Además, el malware es capaz de recopilar credenciales tanto del Servicio de Subsistema de la Autoridad de Seguridad Local (LSASS) como de un número selecto de navegadores web populares. También puede acceder a las cookies desde varios navegadores, incluidos Chrome, Firefox, Safari, Yandex, Opera y más. DevilsTongue también está equipado con una funcionalidad dedicada que descifra y luego extrae las conversiones de la aplicación de mensajería encriptada Signal.
Distribución de malware DevilsTongue
En las etapas iniciales de su cadena de ataque, DevilsTongue explota las vulnerabilidades del navegador entregadas a través de URL corruptas distribuidas a través de servicios de mensajería como WhatsApp. Microsoft, con la ayuda del equipo de derechos humanos Citizen Lab, lanzó soluciones para dos vulnerabilidades de día cero previamente desconocidas rastreadas como CVE-2021-31979 y CVE-2021-33771. Ambos conducen a una escalada ilegal de privilegios del kernel de Windows en el sistema.
Microsoft y Citizen Lab creen que un 'actor ofensivo del sector privado' (PSOA) llamado Sourgum está detrás de los ataques de DevilsTongue. La identidad de las víctimas revela que aproximadamente la mitad se encuentran en Palestina, y un número significativamente menor proviene de Israel, Irán, España y el Reino Unido. Citizen Lab ha determinado que Sourgum tiene su sede en Israel y sus clientes incluyen agencias gubernamentales de varios países diferentes.
