Candiru: Spyware kommt als Zero-Day in Chrome zurück

Ein bisher eher wenig bekannter und eher unauffälliger Spyware-Hersteller ist offenbar mit einer erneuten Kampagne in Erscheinung getreten, die eine Zero-Day-Sicherheitslücke in Googles Chrome-Browser ausgenutzt hat. Das berichten Forscher des Sicherheitsunternehmen Avast, die eigenen Angaben zufolge die Ausnutzung der Lücke entdeckt und anschließend an Google gemeldet haben.

Konkret handelt es sich dabei um einen Head-Buffer-Overflow in der WebRTC-Umsetzung des Browsers (CVE-2022-2294). Darauf aufbauend sei Shellcode im Rendering-Prozess ausgeführt worden. Der genutzte Code für den Ausbruch aus der Sandbox konnte laut den Forschern nicht wiederhergestellt werden. Durch den Zugriff auf den Rechner sei dann schließlich versucht worden, die bereits bekannte Spyware Devils Tongue auf dem Rechner zu installieren. Bei letzterem handelt es sich um Malware, die IT-Sicherheitsforscher von Citizen Lab und Microsoft bereits im Sommer 2021 entdeckt haben. Die Schadsoftware stamme von einer israelischen Firma namens Candiru, die ihre Produkte an Regierungen verkauft, hieß es damals.

Die für die Lücke ausgenutzte WebRTC-Technik wird zur Echtzeitkommunikation genutzt und die Lücke ist wohl auf speziell präparierten Seiten zum Einsatz gekommen, was für gezielte Angriffe spricht. Laut der Beschreibung von Avast ist die Lücke für mehrere ähnliche Angriffe im März 2022 im Libanon, Türkei, Jemen und Palästina genutzt worden. Im Libanon sei etwa eine von Angestellten einer Nachrichtenagentur genutzte Webseite angegriffen worden.

Google hat die Sicherheitslücke bereits vor einigen Woche mit einem Update geschlossen. Gleiches gilt für Microsofts Edge, sowie etwas überraschend auch für Apples Safari-Browser. Der betreffende Code ist also sowohl in Webkit als auch in der Blink-Engine verwendet worden. Ob Candiru aber auch andere Exploits als für Chrome unter Windows erstellt habe, könnten die Sicherheitsforscher von Avast derzeit nicht sagen.