0
0
O Threat Analysis Group (TAG) do Google descobriu uma estrutura de ataque cibernético chamada Heliconia, criada para explorar vulnerabilidades de dia zero e dia n no Chrome, Firefox e Microsoft Defender. Ele provavelmente tem conexões com um corretor de spyware do mercado cinza chamado Variston IT, que destaca como esse segmento sombrio está florescendo .
A ameaça Heliconia consiste em três módulos:
- Heliconia Noise por comprometer o navegador Chrome, escapar da sandbox e instalar malware;
- Heliconia Soft, uma estrutura da Web que implanta um PDF contendo uma exploração do Windows Defender para CVE-2021-42298 que permite escalonamento de privilégios para SYSTEM e execução remota de código (RCE);
- E o pacote Heliconia Files, que contém uma cadeia de exploração do Firefox totalmente documentada para Windows e Linux, incluindo CVE-2022-26485 para RCE.
A TAG tomou conhecimento da ameaça depois de receber um envio anônimo ao programa de relatórios de bugs do Chrome. Após uma investigação mais aprofundada, descobriu-se que o código-fonte da estrutura Heliconia contém um script que aponta para a Variston IT, uma entidade com sede em Barcelona que afirma fornecer “soluções de segurança personalizadas”.
O spyware comercial é frequentemente vendido por organizações que afirmam ser empresas legítimas, para “uso pela aplicação da lei”. No entanto, evidências crescentes mostram que, com muita frequência, esses corretores não examinam seus clientes, “colocando recursos avançados de vigilância nas mãos de governos que os usam para espionar jornalistas, ativistas de direitos humanos, oposição política e dissidentes”, de acordo com um TAG postagem na quarta-feira.
Os pesquisadores observaram que a Variston IT está firmemente no meio desse mercado em proliferação – um espaço que foi sancionado pelos Estados Unidos e outros contra organizações como o infame NSO Group , criador do spyware Pegasus.
“A indústria de vigilância comercial está prosperando e se expandiu significativamente nos últimos anos, criando riscos para os usuários da Internet em todo o mundo”, acrescentaram os pesquisadores da TAG. “Embora a tecnologia de vigilância possa ser legal de acordo com as leis nacionais ou internacionais, ela é frequentemente usada de maneira prejudicial para conduzir espionagem digital contra uma série de grupos”.
Até agora, nenhum dos módulos foi visto em ataques atuais na natureza, mas os pesquisadores do TAG observaram que eles provavelmente já foram implantados no passado, inclusive usando as explorações que eles contêm como dias zero antes de serem corrigidos.
FONTE: DARK READING