資安廠商 Avast 日前發表資安通報，指出該公司旗下的資安專家，日前發現一家惡意軟體公司 Candiru，利用 Google Chrome 一個 0-day 漏洞製作惡意軟體「DevilsTongue」，專門用以駭侵中東國家多名媒體記者與重要人士。

被 Candiru 公司用來製作 DevilsTongue 惡意軟體的 Google Chrome 0-day 漏洞，其 CVE 編號為 CVE-2022-2294，屬於 WebRTC 的 heap-base 暫存器溢位漏洞；駭侵者可誘使受害者前往特製的網站，誘發溢位錯誤後即可遠端執行任意程式碼。

該漏洞的 CVSS 漏洞危險程度分數為 8.8 分（滿分為 10 分），危險程度評級則為「高」（high）。

Avast 在報告中指出，雖然 Google 已於今（2022）年 7 月 4 日發布新版 Google Chrome 並修復本漏洞，但 Avast 發現有許多該公司的中東客戶遭到由 Candiru 開發的 DevilsTongue 透過此漏洞發動攻擊，進一步分析後發現攻擊對象有多數都位於黎巴嫩，其中有許多是新聞記者。

Avast 說，除了黎巴嫩外，Candiru 的攻擊對象還分布在土耳其、葉門、巴勒斯坦等地，攻擊對象十分集中，屬於一種水坑式釣魚攻擊。

報告說，駭侵者誘使列為攻擊目標的新聞從業人員進入其特製的惡意網站，導致其感染惡意軟體；接著開始竊取被害者的多種機敏資訊，包括語言、時區、螢幕資訊、裝置類型、瀏覽器外掛程式、推薦來源、裝置記憶體、cookie 功能等等。目前還不清楚駭侵者具體竊走哪些資料，但針對新聞記者的資安攻擊，目的多半是為了收集情報。

建議可能接觸機密情資的個人與單位，均應加強對各式釣魚攻擊的防範能力與意識，包括不任意點按不明連結，不任意開啟不明郵件夾檔，仔細檢視寄件人資訊等等，且應隨時升級至最新版本軟體與韌體，避免駭侵者利用未修補漏洞發動攻擊。