谷歌安全研究人员表示,一家自称为定制安全解决方案提供商的巴塞罗那公司利用 Windows、Chrome 和 Firefox 浏览器中的多个零日漏洞植入间谍软件。
在周三发布前与 TechCrunch 分享的研究中,谷歌的威胁分析小组 (TAG) 表示,它已将声称提供量身定制的网络安全解决方案的 Variston IT 与一个允许在目标设备上安装间谍软件的开发框架联系起来。
“我们的团队由一些业内最有经验的专家组成,”Variston IT 的网站上写道。 “我们是一家年轻但发展迅速的公司。”
谷歌研究人员在收到匿名提交给其 Chrome 错误报告程序的报告后,开始意识到所谓的“Heliconia”利用框架。在分析了框架之后,谷歌研究人员在源代码中发现了暗示 Variston IT 可能是开发者的线索。
Heliconia 包含三个独立的利用框架:一个包含针对 Chrome 渲染器错误的利用,该漏洞允许它逃脱应用程序沙箱的墙壁以在操作系统上运行恶意软件;另一个部署包含 Windows Defender 漏洞的恶意 PDF 文档,Windows Defender 是现代 Windows 版本中的默认防病毒引擎;另一个框架包含一组针对 Windows 和 Linux 机器的 Firefox 漏洞。
谷歌指出,Heliconia 漏洞对 Firefox 64 至 68 版本有效,这表明该漏洞早在 2018 年 12 月 Firefox 64 首次发布时就已被使用。
谷歌表示,虽然它没有看到这些漏洞在野外被积极利用,但这些漏洞很可能被用作零日漏洞——之所以这样命名是因为公司没有时间或零日漏洞来推出修复——后来被称为 n- day bugs——当漏洞被利用但在补丁可用之后。谷歌、微软和 Mozilla 在 2021 年初和 2022 年初修复了这些漏洞。
Variston IT 主管拉尔夫·韦格纳 (Ralf Wegner) 通过电子邮件联系到 TechCrunch 时表示,该公司并不知道谷歌的研究,也无法验证其发现,但“如果在野外发现这样的 [原文如此] 物品,将会感到惊讶。”
谷歌表示,商业间谍软件,如 Heliconia 框架,包含曾经只有政府才能使用的功能。这些功能包括秘密录制音频、拨打或重定向电话以及窃取数据,例如来自目标设备的文本消息、通话记录、联系人和精细的 GPS 位置数据。
“间谍软件行业的发展使用户处于危险之中,并降低了互联网的安全性,虽然根据国家或国际法律,监控技术可能是合法的,但它们经常以有害的方式被用来对一系列群体进行数字间谍活动,”谷歌说。 “这些滥用行为对在线安全构成严重威胁,这就是为什么谷歌和 TAG 将继续对商业间谍软件行业采取行动并发布有关研究的原因。”
谷歌的研究是在将之前未归因的 Android 移动间谍软件Hermit 与意大利软件机构 RCS Lab 联系起来几个月后着手进行的。
间谍软件供应商 Variston 利用了 Chrome、Firefox 和 Windows 零日漏洞, Carly Page称谷歌最初发表于TechCrunch
原文: https://techcrunch.com/2022/11/30/variston-spyware-chrome-firefox-windows/