DevilsTongue Malware
डेविल्सटॉन्ग मालवेयर सी और सी++ में लिखा गया एक मॉड्यूलर खतरा है। डेविल्सटॉन्ग मालवेयर में कई जटिल अस्पष्टता और दृढ़ता क्षमताएं हैं जो खतरे का पता लगाने और विश्लेषण के लिए और अधिक कठिन बना देती हैं। उदाहरण के लिए, डेविलटॉन्ग की मुख्य कार्यक्षमता .DLL फाइलों के अंदर समाहित है जो डिस्क पर एन्क्रिप्टेड हैं और केवल मेमोरी में डिक्रिप्ट की गई हैं। मैलवेयर का दृढ़ता तंत्र सुनिश्चित करता है कि खतरे का डीएलएल svchost.exe प्रक्रिया द्वारा लोड किया गया है बिना समझौता किए गए सिस्टम की कार्यक्षमता में कोई उल्लेखनीय परिवर्तन छोड़े।
एक बार स्थापित होने के बाद, डेविल्सटॉन्ग उपयोगकर्ता या कर्नेल मोड में चल सकता है और कई तरह की हानिकारक क्रियाएं कर सकता है। यह चुनी हुई फाइलें एकत्र कर सकता है, WMI कमांड चला सकता है, SQLite डेटाबेस और सिस्टम की रजिस्ट्री को क्वेरी कर सकता है। इसके अलावा, मैलवेयर स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सर्विस (LSASS) और कुछ चुनिंदा लोकप्रिय वेब ब्राउज़र दोनों से क्रेडेंशियल एकत्र करने में सक्षम है। यह क्रोम, फायरफॉक्स, सफारी, यांडेक्स, ओपेरा और अन्य सहित कई ब्राउज़रों से कुकीज़ एक्सेस कर सकता है। डेविल्सटॉन्ग भी समर्पित कार्यक्षमता से लैस है जो डिक्रिप्ट करता है और फिर सिग्नल एन्क्रिप्टेड मैसेजिंग एप्लिकेशन से रूपांतरणों को बाहर निकालता है।
डेविल्सटॉन्ग मैलवेयर वितरण
अपनी आक्रमण श्रृंखला के प्रारंभिक चरणों में, डेविल्सटॉन्ग व्हाट्सएप जैसी मैसेजिंग सेवाओं के माध्यम से फैले दूषित URL के माध्यम से वितरित ब्राउज़र कमजोरियों का फायदा उठाता है। Microsoft, मानवाधिकार संगठन सिटीजन लैब की सहायता से, CVE-2021-31979 और CVE-2021-33771 के रूप में ट्रैक की गई दो पूर्व अज्ञात शून्य-दिन की कमजोरियों के लिए सुधार जारी किया। दोनों सिस्टम पर गैरकानूनी विंडोज कर्नेल विशेषाधिकार वृद्धि की ओर ले जाते हैं।
माइक्रोसॉफ्ट और सिटीजन लैब का मानना है कि डेविल्सटॉन्ग हमलों के पीछे सोरगम नाम का एक 'निजी क्षेत्र का आक्रामक अभिनेता' (पीएसओए) है। पीड़ितों की पहचान से पता चलता है कि लगभग आधे फिलिस्तीन में स्थित हैं, जिनमें इजरायल, ईरान, स्पेन और यूके से काफी कम संख्या में हैं। सिटीजन लैब ने निर्धारित किया है कि सोरगम इजरायल आधारित है और इसके ग्राहकों में कई अलग-अलग देशों की सरकारी एजेंसियां शामिल हैं।
