La faille corrigée depuis, a permis aux attaquants d’exécuter le logiciel DevilsTongue afin d'espionner des cibles déterminées.
Exposé en 2021 par l’ONG Citizen Lab et Microsoft, le fournisseur israélien de logiciels espions Candiru (alias Saito Tech) revient à la charge après des mois tapis dans l’ombre. « Nous avons récemment découvert une vulnérabilité zero-day dans Google Chrome (CVE-2022-2294) lorsqu'elle a été exploitée pour tenter d'attaquer les utilisateurs d'Avast au Moyen-Orient », a prévenu l’éditeur Avast. La majeure partie des attaques ont visé le Liban et des journalistes d’une agence de presse. D’autres actes cybermalveillants ont été identifiés au Yémen, en Palestine, et en Turquie.
La vulnérabilité, corrigée le 4 juillet dernier par Chrome, était une corruption de mémoire dans WebRTC qui a été abusée pour obtenir l'exécution de shellcode dans le processus de rendu de Chrome. En se basant sur les logiciels malveillants et les HTTP utilisés, Avast en est venu à la conclusion que c’était bien Candiru qui se cachait derrière ces attaques « très ciblées », selon ses termes.
DevilsTongue installé !
Au Liban par exemple, les attaques ont compromis un site web utilisé par les employés d’une agence de presse en injectant du code Javascript malveillant. Candiru redirigeait ensuite les cibles vers un serveur, et était en mesure de collecter un profil de navigateur à envoyer aux attaquants. Les profils contenaient généralement les informations suivantes : langue de la victime, le fuseau horaire, les informations d'écran, le type d'appareil, les plugins du navigateur, le référent, la mémoire de l'appareil, la fonctionnalité des cookies entre autres. Les attaquants étaient ensuite en mesure d’exécuter l’installation du logiciel espion, DevilsTongue.
« Nous ne pouvons pas dire avec certitude ce que les attaquants auraient pu rechercher, mais souvent la raison pour laquelle les attaquants s'en prennent aux journalistes est de les espionner eux et les histoires sur lesquelles ils travaillent directement ou d’accéder à leurs sources », remarque Avast.
Si l’exploit était conçu spécifiquement pour Chrome sous Windows, les chercheurs estiment que le potentiel de vulnérabilité pouvait également affecter Microsoft Edge, Avast Secure Browser, et Safari d’Apple. Tous ont appliqué des correctifs ce mois de juillet 2022. En novembre 2021, l’administration Biden annonçait avoir placé sur liste noire l’entreprise israélienne Candiru, en même temps que son homologue plus connu, NSO Group, l’éditeur derrière le logiciel espion Pegasus.