DevilsTongue Malware

Entro Mezo nel Malware

Traduci in:

Il DevilsTongue Malware è una minaccia modulare scritta in C e C++. Il malware DevilsTongue possiede diverse complesse capacità di offuscamento e persistenza che rendono la minaccia più difficile da rilevare e analizzare. Ad esempio, la funzionalità principale di DevilTongue è contenuta all'interno di file .DLL che vengono crittografati sul disco e decifrati solo in memoria. Il meccanismo di persistenza del malware assicura che la DLL della minaccia venga caricata dal processo svchost.exe senza lasciare cambiamenti evidenti nella funzionalità del sistema compromesso.

Una volta stabilito, DevilsTongue può essere eseguito in modalità utente o kernel e può eseguire una serie di azioni dannose. Può raccogliere i file scelti, eseguire il comando WMI, interrogare i database SQLite e il registro del sistema. Inoltre, il malware è in grado di raccogliere credenziali sia dal Local Security Authority Subsystem Service (LSASS) sia da un numero selezionato di browser Web popolari. Può anche accedere ai cookie da diversi browser tra cui Chrome, Firefox, Safari, Yandex, Opera e altri. DevilsTongue è inoltre dotato di funzionalità dedicate che decrittografano e quindi esfiltrano le conversioni dall'applicazione di messaggistica crittografata di Signal.

Distribuzione di malware DevilsTongue

Nelle fasi iniziali della sua catena di attacco, DevilsTongue sfrutta le vulnerabilità del browser fornite tramite URL corrotti diffusi tramite servizi di messaggistica come WhatsApp. Microsoft, assistita dalla società per i diritti umani Citizen Lab, ha rilasciato correzioni per due vulnerabilità zero-day precedentemente sconosciute tracciate come CVE-2021-31979 e CVE-2021-33771. Entrambi portano a un'escalation illegale dei privilegi del kernel di Windows sul sistema.

Microsoft e Citizen Lab ritengono che dietro gli attacchi di DevilsTongue ci sia un "attore offensivo del settore privato" (PSOA) di nome Sourgum. L'identità delle vittime rivela che circa la metà si trova in Palestina, con un numero significativamente inferiore proveniente da Israele, Iran, Spagna e Regno Unito. Citizen Lab ha stabilito che Sourgum ha sede in Israele e che i suoi clienti includono agenzie governative di diversi paesi.

Ricerca

Cambia regione

DevilsTongue Malware

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...