Израильская компания Candiru стоит за разработкой как минимум двух эксплоитов для уязвимостей нулевого дня в Windows, которые использовались для атак и развертывания ранее неизвестной шпионской программы DevilsEye.
Частная компания, Candiru продавала свою продукцию исключительно для правительства, среди которых были покупатели в Армении, Иране, Израиле, Ливане, Палестине, Сингапуре, Испании, Турции, Великобритании и России. От этой малвари пострадали политики, правозащитники, активисты, журналисты, ученые, посольства и политические диссиденты в различных странах мира.
Компьютерная зараза распространялась путем заманивания жертв на вредоносные сайты, где размещался эксплоит-кит, который злоупотреблял различными уязвимостями в браузерах для установки малвари на устройства жертв. Впоследствии, на втором этапе атаки, использовался эксплоит для Windows, чтобы взломщики могли повысить свои привилегии до уровня администратора.
Цепочка атак была сложной и использовала неизвестные до недавнего времени уязвимости нулевого дня.
Вредоносная программа позволяет своим операторам похищать файлы жертв, расшифровывать и красть сообщения из Signal на устройствах Windows, а также воровать файлы cookie и сохраненные пароли из браузеров Chrome, Internet Explorer, Firefox, Safari и Opera.
Также может использовать файлы cookie, хранящиеся на компьютере жертвы, для таких сайтов, как Facebook, Twitter, Gmail, Yahoo, MailRU, «Одноклассники» и «Вконтакте», чтобы собирать конфиденциальную информацию, читать сообщения и извлекать фотографии. На некоторых из перечисленных сайтов спайварь даже может отправлять сообщения от лица жертвы другим людям.
По данным Citizen Lab, уже было обнаружено более 750 доменов, на которых размещалась спайварь. Большинство из этих доменов маскировались под правозащитные организации и медиа-компании.
Основная цель атак были именно активисты и политические диссиденты.