Grupo cibercriminoso Candiru usa spyware e falha dia-zero dos navegadores

O lendário peixe-vampiro da Amazônia, o Candiru, inspirou o nome dado ao grupo criminoso que monitora completamente as suas vítimas.

Nosso pesquisador de segurança, Jan Vojtesek, descobriu, recentemente, uma falha dia-zero (CVE-2022-2294*) que estava sendo ativamente explorada e afeta os navegadores baseados no código aberto Chromium (incluindo o Google Chrome e o Microsoft Edge) e o Safari da Apple.

Comunicamos a falha ao Google, que a corrigiu no dia 4 de julho de 2022, com o lançamento da versão estável 103.0.5060.114. O código do Avast Secure Browser foi corrigido no dia seguinte. A Microsoft adotou* a correção no 6 de julho, enquanto a Apple foi a última a reagir e o Safari só foi corrigido na versão 15.6 no dia 20 de julho.

A falha permite a corrupção da memória via WebRTC* (Comunicação em Tempo Real da Web) e a injeção de um spyware, o DevilsTongue (Língua do Diabo, em tradução livre), que monitora vídeo e voz. O processo de implantação segue um roteiro semelhante ao do malware Pegasus do grupo NSO que afeta iPhones e Androids.

Inicialmente exposto pela Microsoft* e pelo CitizenLab* em julho de 2021, o grupo ficou em silêncio até reaparecer em março de 2022, visando usuários do Avast Antivírus localizados no Líbano, Turquia, Iêmen e Palestina.

As evidências levam a crer que os ataques foram iniciados num site comprometido de uma agência de notícias (stylishblock[.]com) e tinham como alvos jornalistas e ativistas de direitos humanos. As vítimas não precisam clicar em nada, basta com que visitem os sites infectados.

O site comprometido verifica a presença de falhas que permitem um ataque XSS (Cross-Site Scripting) e carrega código JavaScript malicioso que redireciona as vítimas específicas (e somente elas) para um servidor controlado pelo grupo cibercriminoso Candiru, baseado em Tel Aviv. A partir daí, um grande conjunto de dados permite o rastreamento completo da vítima: desde a localização e cookies até a gravação via vídeo e áudio.

Os ataques XSS são notoriamente difíceis de detectar e você não pode confiar no seu navegador para manter a sua segurança. Para se proteger proativamente contra eles, sugerimos a nossa solução de segurança robusta e gratuita, projetada para detectar e prevenir essas ameaças.

Fonte: pescanapraia.com

O grupo desenvolvedor desse spyware é conhecido como Candiru, cujo nome está inspirado no peixe-gato parasita de mesmo nome (ou peixe-vampiro). Nativo da Amazônia, o Candiru é um peixe de cabeça pequena que parasita as brânquias de peixes maiores, alimentando-se com o seu sangue.

Os menores são temidos por supostamente (ou não) invadirem a uretra, o ânus ou a vagina humanas. Lendas (ou não) correm que os homens amarravam os seus pênis ao entrarem em certos rios da bacia Amazônica para impedir que isso acontecesse.

Novamente, o mundo digital copia a realidade. Mais informações técnicas podem ser encontradas em nosso blog Decoded* e a lista dos sinais de infecção está disponível em nosso repositório IoC.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by Thiago Palia on Unsplash

--> -->