Il Threat Analysis Group di Google ha annunciato la scoperta di un framework di exploit che utilizzava vulnerabilità ora corrette per diffondere spyware. L'azienda informatica spagnola Variston è stata collegata all'exploit.
Un'azienda IT spagnola potrebbe aver sfruttato una vulnerabilità di Windows
Il 30 novembre 2022, il Threat Analysis Group (TAG) di Google ha annunciato in a Articolo del blog di Google che un framework di sfruttamento denominato "Heliconia" potrebbe avere legami con la società IT spagnola Variston. Il framework ha sfruttato le vulnerabilità di Chrome, Firefox e Microsoft Defender ora patchate per la distribuzione spyware pericoloso.
Variston, il presunto fornitore di soluzioni di sicurezza in questione, ha sede a Barcellona e potrebbe aver sfruttato vulnerabilità di n-day per diffondere spyware. Le vulnerabilità di un giorno si riferiscono a falle di sicurezza sfruttate che sono state corrette. Tuttavia, i ricercatori TAG di Google ritengono che queste vulnerabilità siano state utilizzate per
exploit zero-day in natura prima delle patch.Heliconia Framework può distribuire spyware commerciale
Il gruppo di analisi delle minacce di Google è stato inizialmente messo a conoscenza del framework Heliconia tramite un invio al suo servizio di segnalazione dei bug da parte di un utente anonimo. L'utente, che ha segnalato tre bug, ha coniato il nome "Heliconia". I tre rapporti sono stati denominati rispettivamente "Heliconia Noise", "Heliconia Soft" e "Files".
Heliconia Noise è un framework che distribuisce un exploit di Windows per un bug del renderer di Chrome, che è poi seguito da una fuga dalla sandbox di Chrome e dall'installazione dell'agente. Le versioni di Chrome da 90.0.4430.72 a 91.0.4472.106 (da aprile a giugno 2021) sono state esposte a questo exploit fino ad agosto 2021.
Il framework Heliconia Soft distribuisce un PDF contenente un exploit di Windows Defender. I file consistono in vari exploit per sistemi Linux e Windows.
Heliconia si occupa della diffusione di spyware commerciali su dispositivi mirati. Come affermato nel post TAG di Google sull'argomento, questo tipo di programma dannoso inserisce "capacità di sorveglianza avanzate le mani dei governi che li usano per spiare giornalisti, attivisti per i diritti umani, opposizione politica e dissidenti."
Il TAG di Google si impegna a contrastare lo spyware commerciale
Il TAG di Google ha concluso il suo post sul blog relativo al framework Heliconia affermando che "la crescita dell'industria dello spyware mette a rischio gli utenti e rende Internet meno sicura". Lo spyware commerciale può essere oggetto di abuso anche se "la tecnologia di sorveglianza può essere legale ai sensi delle leggi nazionali o internazionali".
A causa di questo pericolo, Google e TAG hanno dichiarato che "continueranno ad agire contro e pubblicheranno ricerche sull'industria dello spyware commerciale".
Lo spyware rappresenta un rischio per milioni di utenti Internet
Lo spyware può essere sfruttato per monitorare l'attività digitale delle persone senza la loro autorizzazione o conoscenza. I dati privati sono vulnerabili al furto tramite spyware, che può essere utilizzato sia per avvantaggiare l'attaccante sia per sfruttare il bersaglio. Sebbene lo spyware commerciale possa essere legale in alcune nazioni, può comunque essere utilizzato in modo non etico e può mettere a rischio i cittadini. Questo è il motivo per cui team come TAG di Google stanno cercando di identificare, monitorare e affrontare tali programmi su base continua.
