DevilsTongue Malware

Par Mezo en Malware

Se traduisent par :

Le DevilsTongue Malware est une menace modulaire écrite en C et C++. Le DevilsTongue Malware possède plusieurs capacités complexes d'obscurcissement et de persistance qui rendent la menace plus difficile à détecter et à analyser. Par exemple, la fonctionnalité principale de DevilTongue est contenue dans des fichiers .DLL qui sont cryptés sur le disque et décryptés uniquement en mémoire. Le mécanisme de persistance du malware garantit que la DLL de la menace est chargée par le processus svchost.exe sans laisser de changements notables dans la fonctionnalité du système compromis.

Une fois établi, DevilsTongue peut s'exécuter en mode utilisateur ou noyau et peut effectuer diverses actions nuisibles. Il peut collecter les fichiers choisis, exécuter la commande WMI, interroger les bases de données SQLite et le registre du système. En outre, le logiciel malveillant est capable de collecter des informations d'identification à la fois auprès du service de sous-système de l'autorité de sécurité locale (LSASS) et d'un certain nombre de navigateurs Web populaires. Il peut également accéder aux cookies de plusieurs navigateurs, notamment Chrome, Firefox, Safari, Yandex, Opera, etc. DevilsTongue est également équipé d'une fonctionnalité dédiée qui décrypte puis exfiltre les conversions de l'application de messagerie cryptée Signal.

Distribution de logiciels malveillants DevilsTongue

Dans les premières étapes de sa chaîne d'attaque, DevilsTongue exploite les vulnérabilités du navigateur fournies via des URL corrompues diffusées via des services de messagerie tels que WhatsApp. Microsoft, avec l'aide du groupe de défense des droits de l'homme Citizen Lab, a publié des correctifs pour deux vulnérabilités zero-day jusque-là inconnues, répertoriées sous les noms CVE-2021-31979 et CVE-2021-33771. Les deux conduisent à une élévation illégale des privilèges du noyau Windows sur le système.

Microsoft et Citizen Lab pensent qu'un "acteur offensif du secteur privé" (PSOA) nommé Sourgum est à l'origine des attaques DevilsTongue. L'identité des victimes révèle qu'environ la moitié se trouvent en Palestine, un nombre nettement inférieur étant originaire d'Israël, d'Iran, d'Espagne et du Royaume-Uni. Citizen Lab a déterminé que Sourgum est basé en Israël et que ses clients comprennent des agences gouvernementales de plusieurs pays différents.

Rechercher

Changer de région

DevilsTongue Malware

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran