DevilsTongue-Malware

Von Mezo in Malware

Übersetzen Sie in:

Die DevilsTongue-Malware ist eine modulare Bedrohung, die in C und C++ geschrieben wurde. Die DevilsTongue-Malware verfügt über mehrere komplexe Verschleierungs- und Persistenzfunktionen, die die Erkennung und Analyse der Bedrohung erschweren. Die Hauptfunktionalität von DevilTongue ist beispielsweise in .DLL-Dateien enthalten, die auf der Festplatte verschlüsselt und nur im Speicher entschlüsselt werden. Der Persistenzmechanismus der Malware stellt sicher, dass die DLL der Bedrohung durch den Prozess svchost.exe geladen wird, ohne dass die Funktionalität des kompromittierten Systems spürbar verändert wird.

Einmal eingerichtet, kann DevilsTongue im Benutzer- oder Kernelmodus ausgeführt werden und eine Vielzahl von schädlichen Aktionen ausführen. Es kann ausgewählte Dateien sammeln, WMI-Befehle ausführen, SQLite-Datenbanken und die Registrierung des Systems abfragen. Darüber hinaus ist die Malware in der Lage, Anmeldeinformationen sowohl vom Local Security Authority Subsystem Service (LSASS) als auch von einer ausgewählten Anzahl beliebter Webbrowser zu sammeln. Es kann auch von mehreren Browsern aus auf Cookies zugreifen, darunter Chrome, Firefox, Safari, Yandex, Opera und mehr. DevilsTongue ist auch mit einer dedizierten Funktionalität ausgestattet, die Konvertierungen aus der verschlüsselten Messaging-Anwendung Signal entschlüsselt und dann exfiltriert.

DevilsTongue-Malware-Verteilung

In der Anfangsphase seiner Angriffskette nutzt DevilsTongue Browser-Schwachstellen aus, die über beschädigte URLs übermittelt werden, die über Messaging-Dienste wie WhatsApp verbreitet werden. Microsoft hat mit Unterstützung der Menschenrechtsorganisation Citizen Lab Fixes für zwei bisher unbekannte Zero-Day-Schwachstellen veröffentlicht, die als CVE-2021-31979 und CVE-2021-33771 verfolgt werden. Beides führt zu einer rechtswidrigen Rechteausweitung des Windows-Kernels auf dem System.

Microsoft und Citizen Lab gehen davon aus, dass ein "Private-Sector Offensive Actor" (PSOA) namens Sourgum hinter den DevilsTongue-Angriffen steckt. Die Identität der Opfer zeigt, dass sich etwa die Hälfte in Palästina befindet, eine deutlich geringere Zahl aus Israel, dem Iran, Spanien und Großbritannien. Citizen Lab hat festgestellt, dass Sourgum in Israel ansässig ist und zu seinen Kunden Regierungsbehörden aus mehreren verschiedenen Ländern gehören.

Suche

Region ändern

DevilsTongue-Malware

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...