Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Malware DevilsTongue Malware

DevilsTongue Malware

Med Mezo i Malware
Oversæt til:
Dansk

DevilsTongue Malware er en modulær trussel skrevet i C og C ++. DevilsTongue Malware besidder adskillige komplekse tiltræknings- og vedholdenhedsfunktioner, der gør truslen sværere til detektion og analyse. For eksempel er DevilTongues vigtigste funktionalitet indeholdt i .DLL-filer, der er krypteret på disken og kun dekrypteres i hukommelsen. Malwareens vedholdenhedsmekanisme sikrer, at trusselens DLL indlæses af svchost.exe-processen uden at efterlade nogen mærkbare ændringer i det kompromitterede systems funktionalitet.

Når den er etableret, kan DevilsTongue køre i bruger- eller kernetilstand og kan udføre en række skadelige handlinger. Det kan indsamle valgte filer, køre WMI-kommando, spørge SQLite-databaser og systemets registreringsdatabase. Desuden er malware i stand til at indsamle legitimationsoplysninger fra både LSASS (Local Security Authority Subsystem Service) og et udvalg af populære webbrowsere. Det kan også få adgang til cookies fra flere browsere, herunder Chrome, Firefox, Safari, Yandex, Opera og mere. DevilsTongue er også udstyret med dedikeret funktionalitet, der dekrypterer og derefter exfiltrerer konverteringer fra signalkrypteret messaging-applikation.

DevilsTongue-distribution af malware

I de indledende faser af sin angrebskæde udnytter DevilsTongue browsersårbarheder leveret via beskadigede URL'er spredt gennem messaging-tjenester såsom WhatsApp. Microsoft, assisteret af menneskerettighedsudstyret Citizen Lab, udgav rettelser til to tidligere ukendte nul-dages sårbarheder sporet som CVE-2021-31979 og CVE-2021-33771. Begge fører til ulovlig eskalering af Windows Kernel-privilegier på systemet.

Microsoft og Citizen Lab mener, at en 'offensiv privat sektor' (PSOA) ved navn Sourgum står bag DevilsTongue-angrebene. Ofrenes identitet afslører, at ca. halvdelen befinder sig i Palæstina, hvor et betydeligt mindre antal kommer fra Israel, Iran, Spanien og Storbritannien. Citizen Lab har fastslået, at Sourgum er israelsk baseret, og at dets kunder inkluderer offentlige agenturer fra flere forskellige lande.

Trending

Mest sete

Indlæser...