Chrome, Defender e Firefox 0 dias vinculados a empresa comercial de TI na Espanha

Pesquisadores do Google disseram na quarta-feira que vincularam uma empresa de TI com sede em Barcelona, ​​na Espanha, à venda de estruturas avançadas de software que exploram vulnerabilidades no Chrome, Firefox e Windows Defender.

A Variston IT se autodenomina fornecedora de soluções personalizadas de segurança da informação, incluindo tecnologia para SCADA incorporado (controle de supervisão e aquisição de dados) e integradores de Internet das Coisas, patches de segurança personalizados para sistemas proprietários, ferramentas para descoberta de dados, treinamento de segurança e o desenvolvimento de protocolos seguros para dispositivos embarcados. De acordo com um relatório do Threat Analysis Group do Google, a Variston vende outro produto não mencionado em seu site: estruturas de software que fornecem tudo o que um cliente precisa para instalar malware sub-repticiamente em dispositivos que deseja espionar.

Os pesquisadores Clement Lecigne e Benoit Sevens disseram que as estruturas de exploração foram usadas para explorar vulnerabilidades de n-day, que são aquelas que foram corrigidas recentemente o suficiente para que alguns alvos ainda não as tenham instalado. As evidências sugerem, eles acrescentaram, que as estruturas também foram usadas quando as vulnerabilidades eram de dia zero. Os pesquisadores estão divulgando suas descobertas na tentativa de interromper o mercado de spyware, que, segundo eles, está crescendo e representa uma ameaça para vários grupos.

“A pesquisa da TAG ressalta que a indústria de vigilância comercial está prosperando e se expandiu significativamente nos últimos anos, criando riscos para os usuários da Internet em todo o mundo”, escreveram eles. “O spyware comercial coloca recursos avançados de vigilância nas mãos de governos que os usam para espionar jornalistas, ativistas de direitos humanos, oposição política e dissidentes.”

Os pesquisadores passaram a catalogar os frameworks, que receberam de uma fonte anônima por meio do programa de relatórios de bugs do Google Chrome. Cada um veio com instruções e um arquivo contendo o código-fonte. Os frameworks vieram com os nomes Heliconia Noise, Heliconia Soft e Files. As estruturas continham “código-fonte maduro capaz de implantar exploits para Chrome, Windows Defender e Firefox”, respectivamente.

Incluído na estrutura Heliconia Noise estava o código para limpar arquivos binários antes de serem produzidos pela estrutura para garantir que não contenham strings que possam incriminar os desenvolvedores. Como mostra a imagem do script de limpeza, a lista de strings ruins incluía “Variston”.

Google

Funcionários de Variston não responderam a um e-mail solicitando comentários para esta postagem.

As estruturas exploraram vulnerabilidades que Google, Microsoft e Firefox corrigiram em 2021 e 2022. Heliconia Noise incluiu uma exploração para o renderizador do Chrome, juntamente com uma exploração para escapar da caixa de proteção de segurança do Chrome, projetada para manter o código não confiável contido em um arquivo protegido ambiente que não pode acessar partes sensíveis de um sistema operacional. Como as vulnerabilidades foram descobertas internamente, não há designações CVE.

O Heliconia Noise pode ser configurado pelo cliente para definir coisas como o número máximo de vezes para servir as explorações, uma data de expiração e regras especificando quando um visitante deve ser considerado um alvo válido.

O Heliconia Soft incluiu um arquivo PDF com armadilha que explorou o CVE-2021-42298, um bug no mecanismo JavaScript do Microsoft Defender Malware Protection que foi corrigido em novembro de 2021. Basta enviar o documento a alguém para obter privilégios de sistema cobiçados no Windows porque O Windows Defender verificou automaticamente os arquivos recebidos.

A estrutura de arquivos continha uma cadeia de exploração totalmente documentada para o Firefox em execução no Windows e no Linux. Ele explora o CVE-2022-26485, uma vulnerabilidade de uso após a liberação que o Firefox corrigiu em março passado. Os pesquisadores disseram que o Files provavelmente explorou a vulnerabilidade de execução de código desde pelo menos 2019, muito antes de ser publicamente conhecido ou corrigido. Funcionou nas versões 64 a 68 do Firefox. Os arquivos de escape da sandbox foram corrigidos em 2019.

Os pesquisadores pintaram um quadro de um mercado de exploração que está cada vez mais fora de controle. Eles escreveram:

A pesquisa da TAG mostrou a proliferação da vigilância comercial e até que ponto os fornecedores de spyware comercial desenvolveram recursos que antes estavam disponíveis apenas para governos com bolsos cheios e conhecimento técnico. O crescimento da indústria de spyware coloca os usuários em risco e torna a Internet menos segura e, embora a tecnologia de vigilância possa ser legal de acordo com as leis nacionais ou internacionais, ela é frequentemente usada de maneira prejudicial para realizar espionagem digital contra vários grupos. Esses abusos representam um sério risco à segurança on-line, e é por isso que o Google e a TAG continuarão a agir contra e a publicar pesquisas sobre o setor de spyware comercial.

Variston se junta às fileiras de outros vendedores de exploração, incluindo NSO Group, Hacking Team, Accuvant e Candiru.

Leave a Comment

Your email address will not be published. Required fields are marked *