Journalisten zijn onlangs aangevallen via een zerodaylek in Google Chrome waarbij hun machines werden besmet met commerciƫle spyware die allerlei gevoelige informatie verzamelde. Begin deze maand kwam Google met een beveiligingsupdate voor de kwetsbaarheid, zo laat antivirusbedrijf Avast weten dat de aanval ontdekte.
Volgens het antivirusbedrijf waren Chrome-gebruikers in het Midden-Oosten het doelwit, waarbij het grootste deel van de aanvallen in Libanon plaatsvond. Onder deze groep bevonden zich ook journalisten. De aanvallers hadden de website van een niet nader genoemd nieuwsagentschap gecompromitteerd en door middel van cross-site scripting (XSS) kwaadaardige code toegevoegd.
Deze code stuurde de beoogde slachtoffers naar de exploitserver door. De exploitserver voerde vervolgens een verdere controle uit dat het om een daadwerkelijk doelwit ging. Zo werden zo’n vijftig datapunten over de browser van het doelwit verzameld. Vervolgens werd de zeroday-aanval uitgevoerd. Hierbij maakten de aanvallers gebruik van het lek in Google Chrome en een tweede onbekende kwetsbaarheid om uit de sandbox-beveiliging van de browser te breken.
Vervolgens konden de aanvallers spyware op de systemen installeren. Het gaat hierbij om commerciĆ«le spyware van het bedrijf Candiru, dat zichzelf nu Saito Tech noemt. De sypware kan wachtwoorden uit browsers zoals Chrome en Firefox stelen. Daarnaast kan de malware berichten van de Signal-chatapp ontsleutelen en terugsturen naar de aanvallers. Ook steelt de malware uit verschillende browsers cookies voor websites zoals Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki en Vkontakte om zo informatie uit gebruikersprofielen te verzamelen, berichten van het slachtoffer te lezen en foto’s te downloaden.
Vorig jaar stelden Citizen Lab en Microsoft al dat de spyware van Candiru is gebruikt voor het aanvallen van activisten, journalisten en politici. Eind vorig jaar besloot de Amerikaanse overheid Candiru op een zwarte lijst te zetten, net als spywareleverancier NSO Group.
Bron: Security.nl