Google acusa empresa de segurança espanhola de desenvolver ferramentas de exploração para Chrome e Microsoft Defender

O Google vinculou explorações de dia zero em seus principais navegadores Chrome, Mozilla Firefox e Microsoft Defender com spyware desenvolvido por uma empresa espanhola, a Variston IT, que se posiciona como fornecedora de soluções personalizadas de segurança cibernética.

De acordo com pesquisadores do Threat Analysis Group (TAG) do Google, a Variston IT desenvolve, mas não divulga, a estrutura Heliconia, uma série de estruturas da Web que “exploram vulnerabilidades de n-day no Chrome, Firefox e Microsoft Defender e fornecem todas as ferramentas necessárias para implantar um carga útil para um dispositivo de destino.

do google Pesquisar é baseado em três bugs anônimos relatados à empresa juntamente com o código-fonte de três estruturas, apelidadas de Heliconia Noise, Heliconia Soft e Files, que listaram a Variston IT como desenvolvedora.

A estrutura da Web Heliconia Noise é usada para implantar uma exploração para um bug do mecanismo de renderização do Chrome que permite que um invasor execute código remotamente e evite a caixa de proteção do aplicativo para executar malware. A exploração de renderização do Chrome existe nas versões 90.0.4430.72 (abril de 2021) a 91.0.4472.106 (junho de 2021) do popular navegador da web.

Heliconia Soft e File respondem à exploração de vulnerabilidades no Microsoft Defender (conduzido por PDF) e no Firefox baseado em Linux e Windows, respectivamente. Especificamente, o Heliconia Soft pode ser usado para explorar o CVE-2021-42298 que existia no mecanismo JavaScript do Microsoft Defender Malware Protection. O simples envio de um arquivo PDF malicioso explora o CVE-2021-42298 e concede privilégios de sistema ao invasor, pois o Defender verifica automaticamente todos os arquivos recebidos.

Saber mais: Massachusetts DPH processado por instalação forçada de spyware em um milhão de dispositivos Android

O Heliconia Files continha uma cadeia de exploração documentada para a vulnerabilidade Firefox CVE-2022-26485 (execução remota de código) em seus clientes Windows e Linux (versões 64-68). O pacote Heliconia Files poderia ter sido usado para explorar a falha do RCE desde pelo menos 2019 e provavelmente desde dezembro de 2018, mais de três anos antes de o bug ser conhecido publicamente e corrigido em março de 2022.

Google, Microsoft e Mozilla corrigiram as respectivas vulnerabilidades em seus produtos no início de 2022. O Google não detectou nenhuma exploração ativa até agora.

Ferramentas como Heliconia podem ser aproveitadas por agentes de ameaças para atingir indivíduos e organizações. A pesquisa da Meta no início deste ano revelou que a vigilância do setor privado é um campo enorme e crescente e identificou 50.000 usuários de 100 países que foram espionados em 2021.

“A pesquisa da TAG mostrou a proliferação da vigilância comercial e até que ponto os fornecedores de spyware comercial desenvolveram recursos que anteriormente estavam disponíveis apenas para governos com bolsos profundos e conhecimento técnico”, observaram os pesquisadores do Google TAG Clement Lecigne e Benoit Sevens.

“O crescimento da indústria de spyware coloca os usuários em risco e torna a internet menos segura e, embora a tecnologia de vigilância possa ser legal de acordo com as leis nacionais ou internacionais, ela é frequentemente usada de maneira prejudicial para conduzir a espionagem digital contra vários grupos”.

O governo dos EUA baniu o infame desenvolvedor de spyware Pegasus, NSO Group e Candiru, ambos da Lista de Entidades do Departamento de Comércio dos EUA, por seu papel em possibilitar operações de spyware. Não está claro se a Variston IT estará na lista de entidades, uma vez que o Google não encontrou nenhuma evidência de exploração ativa.

As descobertas, no entanto, levam as empresas envolvidas a processar a Variston IT, alegando que o produto da empresa espanhola pode ser usado para espionagem ou ataques cibernéticos.

Por outro lado, a mesma lógica também pode se aplicar ao Google, cujo negócio de tecnologia de publicidade depende de rastreamento. Cabe aos reguladores definir a definição de spyware e se ele se aplica à telemetria ad tech, além, é claro, da parte em que é usado para se referir ao cibercrime.

Deixe-nos saber se você gostou de ler esta notícia em LinkedIn, TwitterOnde Facebook. Nós gostaríamos de ouvir de você!

Fonte da imagem: Shutterstock

SAIBA MAIS SOBRE CIBERSEGURANÇA