Candiru nhắm mục tiêu đến người dùng của Avast ở Lebanon, Thổ Nhĩ Kỳ, Yemen và Palestine từ tháng 3, bao gồm việc khai thác các lỗ hổng zero-day trên trình duyệt Chrome. Những vụ khai thác này đặc biệt đáng lo ngại vì dựa trên những lỗi chưa được biết đến nên không có cách nào để vá.
Để nhắm mục tiêu vào các nhà báo ở Lebanon, Candiru bị cáo buộc đã xâm nhập một trang web hợp pháp của một hãng thông tấn. Sau đó, công ty phần mềm gián điệp của Israel đã điều hướng khách truy cập đến một máy chủ web có khả năng thu thập thông tin của nạn nhân, chẳng hạn như ngôn ngữ, múi giờ, plugin trình duyệt…
Nếu dữ liệu thu thập được đáp ứng các yêu cầu nhất định, máy chủ sẽ tiến hành thiết lập một kênh được mã hóa với máy tính của nạn nhân để khởi chạy lỗ hổng zero-day của Chrome, CVE-2022-2294. Kết quả là kẻ gian có thể thực thi mã độc hại từ xa trên trình duyệt của nạn nhân.
Avast nghi ngờ Candiru đã khai thác lỗ hổng kết hợp với một biện pháp khác để thoát khỏi tính năng Sandbox của Chrome. Tuy nhiên, nhà cung cấp phần mềm chống virus không thể phát hiện ra biện pháp thứ hai.
Theo Avast, phần mềm gián điệp của Candiru khá giống với DevilsTongue, một phần mềm độc hại dựa trên Windows mà Microsoft đã phát hiện trước đó. Đó là lý do tại sao Avast nghi ngờ công ty Israel đã khai thác lỗ hổng CVE-2022-2294 trong các cuộc tấn công có chủ đích ở Trung Đông.
Tin tốt là Google đã vá lỗ hổng này vào ngày 4 tháng 7, vì vậy người dùng cần cập nhật trình duyệt Chrome càng sớm càng tốt để bảo vệ mình khỏi các mối đe dọa. Cả hai trình duyệt Edge của Microsoft và Safari của Apple, cũng sử dụng WebRTC cũng đã phát hành các bản vá.
Để cập nhật trình duyệt Chrome, bạn hãy gõ vào thanh địa chỉ dòng lệnh chrome://settings/help và nhấn Enter. Khi quá trình tải về bản cập nhật hoàn tất, người dùng chỉ cần nhấn Relaunch để khởi động lại trình duyệt.
Cập nhật trình duyệt Google Chrome càng sớm càng tốt. Ảnh: TIỂU MINH
Candiru không có trang web chính thức, năm ngoái công ty này và NSO Group đã bị Mỹ đưa vào danh sách thực thể. Điều này có nghĩa là các sản phẩm của những công ty này sẽ không được nhập khẩu vào Mỹ, và chúng cũng không thể được xuất hoặc chuyển từ tổ chức này sang tổ chức khác.
NSO Group và Candiru (Israel) đã bị thêm vào danh sách đen vì có bằng chứng cho thấy các công ty này đã phát triển và cung cấp phần mềm gián điệp cho chính phủ nước ngoài.
Các công cụ này cho phép chính phủ nước ngoài nhắm vào những người bất đồng chính kiến, bao gồm các quan chức, nhà báo, doanh nhân, các nhà hoạt động nhân quyền, nhân viên đại sứ quán... Lưu ý, người dùng thông thường cơ bản không cần phải quá lo lắng vì phần mềm Pegasus.