Лицензии на несколько устройств (оптовые скидки)

Изменить регион

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Malware DevilsTongue Вредоносное ПО

DevilsTongue Вредоносное ПО

К Mezo году в Malware году
Перевести на:
Русский

DevilsTongue Malware - это модульная угроза, написанная на C и C ++. DevilsTongue Malware обладает несколькими сложными возможностями обфускации и сохранения, которые затрудняют обнаружение и анализ угрозы. Например, основная функциональность DevilTongue содержится в файлах .DLL, которые зашифрованы на диске и расшифрованы только в памяти. Механизм персистентности вредоносной программы гарантирует, что DLL угрозы загружается процессом svchost.exe, не оставляя заметных изменений в функциональности скомпрометированной системы.

После установки DevilsTongue может работать в режиме пользователя или ядра и выполнять различные вредоносные действия. Он может собирать выбранные файлы, запускать команду WMI, запрашивать базы данных SQLite и реестр системы. Кроме того, вредоносная программа способна собирать учетные данные как от службы подсистемы Local Security Authority (LSASS), так и от ряда популярных веб-браузеров. Он также может получать доступ к файлам cookie из нескольких браузеров, включая Chrome, Firefox, Safari, Яндекс, Opera и другие. DevilsTongue также оснащен специальной функцией, которая расшифровывает и затем извлекает преобразования из приложения для обмена зашифрованными сообщениями Signal.

Распространение вредоносного ПО DevilsTongue

На начальных этапах своей цепочки атак DevilsTongue использует уязвимости браузера, доставляемые через поврежденные URL-адреса, распространяемые через службы обмена сообщениями, такие как WhatsApp. Microsoft при поддержке правозащитной организации Citizen Lab выпустила исправления для двух ранее неизвестных уязвимостей нулевого дня, отслеживаемых как CVE-2021-31979 и CVE-2021-33771. Оба приводят к незаконному повышению привилегий ядра Windows в системе.

Microsoft и Citizen Lab считают, что за атаками DevilsTongue стоит «наступательный субъект частного сектора» (PSOA) по имени Сургум. Личность жертв показывает, что примерно половина из них находится в Палестине, а значительно меньшее количество - из Израиля, Ирана, Испании и Великобритании. Citizen Lab определила, что Sourgum базируется в Израиле, и среди ее клиентов есть правительственные учреждения из нескольких разных стран.

В тренде

Наиболее просматриваемые

Загрузка...