O Google descobriu uma estrutura de exploração usando vulnerabilidades do Windows, Firefox e Chrome agora corrigidas para implantar spyware.
O Grupo de Análise de Ameaças do Google anunciou a descoberta de uma estrutura de exploração que usava vulnerabilidades já corrigidas para espalhar spyware. A empresa espanhola de TI Variston foi ligada ao exploit.
Uma empresa de TI espanhola pode ter explorado uma vulnerabilidade do Windows
Em 30 de novembro de 2022, o Threat Analysis Group (TAG) do Google anunciou em uma postagem no blog do Google que uma estrutura de exploração chamada “Heliconia” pode ter ligações com a empresa espanhola de TI Variston. A estrutura explorou vulnerabilidades agora corrigidas do Chrome, Firefox e Microsoft Defender para implantar spyware perigoso .
Variston, o suposto provedor de soluções de segurança em questão, tem sede em Barcelona e pode ter explorado vulnerabilidades n-day para espalhar spyware. As vulnerabilidades de N dias referem-se a falhas de segurança exploradas que foram corrigidas. No entanto, os pesquisadores de TAG do Google acreditam que essas vulnerabilidades foram usadas para explorações de dia zero antes dos patches.
Heliconia Framework pode implantar spyware comercial
O Google Threat Analysis Group foi inicialmente informado sobre a estrutura Heliconia por meio de um envio em seu serviço de relatórios de bugs por um usuário anônimo. O usuário, que relatou três bugs, cunhou o nome “Heliconia”. Os três relatórios foram nomeados “Heliconia Noise”, “Heliconia Soft” e “Files”, respectivamente.
Heliconia Noise é uma estrutura que implanta uma exploração do Windows para um bug do renderizador do Chrome, que é seguido por uma fuga de sandbox do Chrome e instalação do agente. As versões do Chrome 90.0.4430.72 a 91.0.4472.106 (de abril a junho de 2021) foram expostas a essa exploração até agosto de 2021.
A estrutura do Heliconia Soft implanta um PDF contendo uma exploração do Windows Defender. Os arquivos consistem em vários exploits para sistemas Linux e Windows.
A Heliconia lida com a disseminação de spyware comercial em dispositivos direcionados. Conforme declarado na postagem TAG do Google sobre o assunto, esse tipo de programa malicioso coloca “capacidades avançadas de vigilância nas mãos de governos que as usam para espionar jornalistas, ativistas de direitos humanos, oposição política e dissidentes”.
A TAG do Google está comprometida em combater o spyware comercial
O TAG do Google concluiu em seu blog sobre a estrutura Heliconia que “o crescimento da indústria de spyware coloca os usuários em risco e torna a Internet menos segura”. O spyware comercial pode ser usado de forma abusiva, mesmo que “a tecnologia de vigilância seja legal de acordo com as leis nacionais ou internacionais”.
Devido a esse perigo, o Google e a TAG declararam que “continuarão a agir contra e a publicar pesquisas sobre a indústria de spyware comercial”.
Spyware representa um risco para milhões de usuários da Internet
O spyware pode ser aproveitado para monitorar a atividade digital das pessoas sem sua permissão ou conhecimento. Dados privados são vulneráveis a roubo via spyware, que pode ser usado tanto para beneficiar o invasor quanto para explorar o alvo. Embora o spyware comercial possa ser legal em alguns países, ele ainda pode ser usado de forma antiética e pode colocar os cidadãos em risco. É por isso que equipes como o TAG do Google procuram identificar, monitorar e lidar com esses programas continuamente.