Google scopre un exploit di Windows che punta alla distribuzione di spyware

Il Threat Analysis Group interno di Google ha recentemente scoperto un framework di exploit che sfrutta le vulnerabilità nei browser Web e in altre utilità di sistema. TAG ha anche collegato il framework dell’exploit a una società di software spagnola con sede a Barcellona. È noto che il framework di exploit prende di mira le vulnerabilità in Microsoft Defender, Google Chrome e Mozilla Firefox.

TAG è principalmente una delle linee di difesa guidate da esperti di Google contro gli attacchi sponsorizzati dallo stato. Tuttavia, TAG tiene sotto controllo anche le aziende che consentono ai governi di spiare oppositori politici e morali, dissidenti e giornalisti utilizzando strumenti del commercio di sorveglianza. Ufficialmente, la società con sede a Barcellona afferma di non essere altro che un fornitore di soluzioni di sicurezza personalizzate. Tuttavia, la verità sembra essere molto più sinistra. Secondo Google, questa società di software spagnola è uno di questi fornitori commerciali di sorveglianza.

“Continuando questo lavoro, oggi condividiamo i risultati su un framework di sfruttamento con probabili legami con Variston IT, un’azienda di Barcellona, ​​in Spagna, che afferma di essere un fornitore di soluzioni di sicurezza personalizzate”.

Questi sono i sentimenti di Benoit Sevens e Clement Lecigne di TAG che hanno recentemente parlato delle scoperte del team. TAG ha anche affermato che “il loro framework Heliconia sfrutta le vulnerabilità n-day in Chrome, Firefox e Microsoft Defender e fornisce tutti gli strumenti necessari per distribuire un payload su un dispositivo di destinazione”.

Google smaschera l'exploit di Windows

Come scoperto da TAG, il framework degli exploit ha tre componenti principali:

  • Heliconia Noise: un framework Web che distribuisce exploit di bug del renderer. Il framework installa quindi agenti malevoli sul sistema di destinazione distribuendo una fuga dalla sandbox di Chrome.
  • Heliconia Soft: un secondo framework web che trasporta un payload PDF che contiene l’exploit di Windows Defender attualmente tracciato come CVE-2021-42298.
  • File Heliconia: una serie di exploit per Windows e Linux che prendono di mira Firefox. Uno di questi è attualmente monitorato come CVE-2022-26485.

Ieri, TAG ha affermato che la crescita dell’industria dello spyware mette a rischio gli utenti e rende Internet meno sicura, e mentre la tecnologia di sorveglianza può essere legale ai sensi delle leggi nazionali o internazionali; sono spesso usati in modi dannosi per condurre spionaggio digitale contro una serie di gruppi. Questi abusi rappresentano un grave rischio per la sicurezza online, motivo per cui Google e TAG continueranno ad agire contro e pubblicheranno ricerche sull’industria dello spyware commerciale.’

In altre notizie correlate, Google sta apparentemente sviluppando una tecnologia per sostituire i cookie di Internet .