Google安全研究人员说,一家位于巴塞罗那的公司自称是定制安全解决方案供应商,利用Windows以及Chrome和Firefox浏览器中的几个零日漏洞植入间谍软件。Google的威胁分析小组(TAG)表示,它已经将声称提供定制网络安全解决方案的Variston IT公司与一个能够在目标设备上安装间谍软件的利用框架联系起来。
Variston IT的网站上描述自己:“在 Variston,我们努力为我们的客户提供量身定制的信息安全解决方案。我们的团队由一些业内最有经验的专家组成。我们是一家年轻但发展迅速的公司。”
Google研究人员在收到向其Chrome浏览器错误报告程序提交的匿名材料后,意识到了所谓的"Heliconia"开发框架。在分析了该框架后,Google研究人员在源代码中发现了一些线索,表明Variston IT公司可能是开发者。
Heliconia由三个独立的开发框架组成:一个包含对Chrome浏览器渲染器漏洞的利用,允许攻击者绕过应用程序的沙盒墙,在操作系统上运行恶意软件;另一个部署恶意PDF文件,包含对Windows Defender(现代版本Windows的默认防病毒引擎)的利用;还有一个框架,包含一组针对Windows和Linux机器的Firefox利用。
Google指出,Heliconia漏洞对Firefox浏览器64至68版本有效,表明该漏洞早在2018年12月就被使用,当时Firefox浏览器64版首次发布。
Google表示,虽然它没有看到这些漏洞在外部被积极利用,但这些漏洞很可能被当作零日漏洞来利用--之所以这样命名,是因为公司没有时间或零日来推出修复方案--后来又被当作N日漏洞--当漏洞被利用但在补丁提供后。Google、微软和Mozilla在2021年初和2022年修复了这些漏洞。
当媒体通过电子邮件联系到瓦里斯顿IT主管拉尔夫-韦格纳时,他表示该公司不知道Google的研究,也无法验证其结论,但"如果在外部发现这种[原文如此]框架,会感到惊讶。"
Google在其博客文章中说,商业间谍软件,如Heliconia框架,包含了曾经只有政府才能使用的功能。这些能力包括隐蔽地录制音频,拨打或重定向电话,以及窃取数据,如目标设备的短信、通话记录、联系人和细化的GPS位置数据。
Google说:"间谍软件行业的增长使用户处于危险之中,并使互联网变得更加不安全,虽然监控技术在国家或国际法律下可能是合法的,但它们往往被以有害的方式用于对一系列群体进行数字间谍活动。这些滥用行为代表了对在线安全的严重风险,这就是为什么Google和TAG将继续对商业间谍软件行业采取行动,并发表有关研究报告。"
Google的研究是在将以前未归属的Android移动间谍软件(被称为Hermit)与意大利软件公司RCS Lab联系起来几个月后进行的。
评论已关闭。