DevilsTongue Malware

Tegen Mezo in Malware

Vertalen naar:

De DevilsTongue Malware is een modulaire bedreiging geschreven in C en C++. De DevilsTongue-malware beschikt over verschillende complexe verduisterings- en persistentiemogelijkheden die het moeilijker maken om de dreiging te detecteren en te analyseren. De belangrijkste functionaliteit van DevilTongue bevindt zich bijvoorbeeld in .DLL-bestanden die op de schijf zijn versleuteld en alleen in het geheugen worden ontsleuteld. Het persistentiemechanisme van de malware zorgt ervoor dat de DLL van de dreiging wordt geladen door het svchost.exe-proces zonder merkbare veranderingen in de functionaliteit van het aangetaste systeem achter te laten.

Eenmaal ingesteld, kan DevilsTongue in de gebruikers- of kernelmodus worden uitgevoerd en een verscheidenheid aan schadelijke acties uitvoeren. Het kan gekozen bestanden verzamelen, WMI-opdrachten uitvoeren, SQLite-databases en het register van het systeem doorzoeken. Bovendien is de malware in staat om inloggegevens te verzamelen van zowel de Local Security Authority Subsystem Service (LSASS) als een select aantal populaire webbrowsers. Het heeft ook toegang tot cookies van verschillende browsers, waaronder Chrome, Firefox, Safari, Yandex, Opera en meer. DevilsTongue is ook uitgerust met speciale functionaliteit die de conversies decodeert en vervolgens exfiltreert vanuit de Signal-gecodeerde berichtentoepassing.

DevilsTongue Malware Distributie

In de beginfase van zijn aanvalsketen maakt DevilsTongue misbruik van browserkwetsbaarheden die worden geleverd via corrupte URL's die worden verspreid via berichtenservices zoals WhatsApp. Microsoft heeft, bijgestaan door de mensenrechtenorganisatie Citizen Lab, fixes vrijgegeven voor twee voorheen onbekende zero-day-kwetsbaarheden, bijgehouden als CVE-2021-31979 en CVE-2021-33771. Beide leiden tot onwettige escalatie van Windows-kernelprivileges op het systeem.

Microsoft en Citizen Lab geloven dat een 'private-sector offensieve actor' (PSOA) genaamd Sourgum achter de DevilsTongue-aanvallen zit. Uit de identiteit van de slachtoffers blijkt dat ongeveer de helft zich in Palestina bevindt, en een aanzienlijk kleiner aantal komt uit Israël, Iran, Spanje en het VK. Citizen Lab heeft vastgesteld dat Sourgum in Israël is gevestigd en dat onder zijn klanten overheidsinstanties uit verschillende landen vallen.

Zoeken

Veranderen van regio

DevilsTongue Malware

Commentaar toevoegen

Trending

Safe Search Eng

MarioLocker Ransomware

MijnWallPaper

Meest bekeken

Is Lookmovie.io veilig?

Hoe de fout 'Printerstuurprogramma is niet...

Discord toont zwart scherm bij delen van scherm