Смята се, че базираният в Барселона доставчик на софтуер за наблюдение на име Variston IT тайно е инсталирал шпионски софтуер на целеви устройства, като е използвал няколко недостатъка от типа нулев ден в Google Chrome, Mozilla Firefox и Windows, някои от които датират от декември 2018г.

„Тяхната рамка Heliconia експлоатира уязвимости от типа 0-day в Chrome, Firefox и Microsoft Defender и предоставя всички необходими инструменти за разполагане на полезен товар на целевото устройство“, казват в писмен доклад изследователите от Google Threat Analysis Group (TAG) Клемент Лесиньо и Беноа Севън.

Variston, която има  уебсайт, твърди, че „предлага индивидуални решения за информационна сигурност на нашите клиенти“, „разработва персонализирани пачове за сигурност за всякакъв вид собствени системи“ и подпомага „откриването на цифрова информация от [правоприлагащите органи]“, наред с други услуги.

Смята се, че уязвимостите, които са били поправени от Google, Microsoft и Mozilla през 2021г. и началото на 2022г., са били използвани като 0-day, за да помогнат на клиентите да инсталират зловреден софтуер по свой избор на целевите системи.

Heliconia се състои от три компонента, а именно Noise, Soft и Files, всеки от които отговаря за внедряването на експлойти срещу грешки в Chrome, Windows и Firefox.

Noise е проектиран така, че да се възползва от недостатък в сигурността на JavaScript енджина на Chrome V8, който беше поправен през август 2021г., както и от неизвестен метод за избягване на сенд бокс, наречен „chrome-sbx-gen“, за да позволи инсталирането на крайния полезен товар (известен още като „агент“) на целевите устройства.

Атаката обаче залага на предпоставката жертвата да осъществи достъп до заложена в капана уебстраница, за да задейства експлойта на първия етап.

Heliconia Noise може да бъде допълнително конфигурирана от купувача с помощта на JSON файл за задаване на различни параметри, като например максимален брой пъти за сервиране на експлойтите, срок на валидност на сървърите, URL адреси за пренасочване на нецелеви посетители и правила, определящи кога даден посетител трябва да се счита за валидна цел.

Soft е уеб рамка, която е разработена така, че да доставя примамлив PDF документ, съдържащ експлойт за CVE-2021-42298 – недостатък в отдалеченото изпълнение на код, засягащ Microsoft Defender, който беше поправен от Редмънд през ноември 2021 г. Веригата на заразяване в този случай включва посещение от потребителя на злонамерен URL адрес, който след това сервира въоръжения PDF файл.

Пакетът Files – третата рамка – съдържа верига за експлоатиране на Firefox за Windows и Linux, която използва use-after-free недостатък в браузъра, за който беше съобщено през март 2022г. (CVE-2022-26485). Въпреки това има подозрения, че с грешката вероятно се е злоупотребявало поне от 2019г. насам.

От Google TAG заявиха, че са разбрали за рамката за атаки Heliconia, след като са получили анонимно съобщение в програмата за докладване на грешки в Chrome. Освен това  отбеляза, че в момента няма доказателства за експлоатация, което показва, че наборът от инструменти е преустановен или се е развил допълнително.

Разработката пристига повече от пет месеца, след като отделът за киберсигурност на технологичния гигант свърза непризнат досега шпионски софтуер за мобилни устройства с Android, наречен Hermit, с италианската софтуерна организация RCS Lab.

„Разрастването на индустрията за шпионски софтуер излага потребителите на риск и прави интернет по-малко безопасен, и макар че технологиите за наблюдение може да са законни съгласно националните или международните закони, те често се използват по вреден начин за провеждане на цифров шпионаж срещу редица групи“, заявиха изследователите.

 

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

QNAP отстранява 6 уязвимост...

QNAP е отстранила шест уязвимости в...
24/01/2025

Верижно свързани уязвимости...

Кибератакистите използват нов вектор на заплаха,...
23/01/2025

SonicWall научава от Micros...

В сряда SonicWall благодари на Microsoft,...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!