Investigadores de la firma de antivirus Avast informaron que el spyware DevilsTongue , desarrollado por la firma de vigilancia israelí Candiru , se usó en ataques contra periodistas en el Medio Oriente. Esta falla rastreada como CVE-2022-2294 es un desbordamiento de búfer basado en montón de alta gravedad en WebRTC que, si se explota con éxito, puede conducir a la ejecución de código en el dispositivo de destino.
Google corrigió la vulnerabilidad identificada como CVE-2022-2294 el 4 de julio con el lanzamiento estable de Chrome v103.0.5060.11. Sin embargo, el parche sigue siendo una amenaza activa para los usuarios que no han actualizado su navegador.
Según Avast, Candiru comenzó a explotar CVE-2022-2294 en marzo de 2022 y se dirigió a usuarios de Líbano, Turquía, Yemen y Palestina.
Los operadores de spyware emplearon tácticas comunes de ataque de abrevadero, comprometiendo un sitio web que visitarán sus objetivos y explotando una vulnerabilidad desconocida en el navegador para infectarlos con spyware.
Este ataque es particularmente peligroso ya que no requiere interacción con la víctima, como hacer clic en un enlace o descargar algo. En cambio, todo lo que se necesita es que abran el sitio en Google Chrome u otro navegador basado en Chromium.
Estos sitios web pueden ser legítimos que de alguna manera fueron comprometidos o creados por los actores de amenazas y promovidos a través de phishing u otros métodos por lo que se debe tener mucho cuidado frente a estos.