REKLAMA

Znana firma sprzedawała złośliwe oprogramowanie. Używała luk w Chromie, Firefoksie i Windowsie

Nie minęło pół roku od zaraportowania przez Threat Analysis Group o sprzedawaniu przez włoskie RCS Lab narzędzi do szpiegowania prywatnych wiadomości i innych informacji, a grupa odkryła nowego, potencjalnego handlarza nielegalnym, złośliwym oprogramowaniem. Tym razem z Hiszpanii, a celem byli użytkownicy popularnych przeglądarek.

03.12.2022 19.15
Znana firma sprzedawała złośliwe oprogramowanie. Używała luk w Chromie, Firefoksie i Windowsie
REKLAMA

Pośród licznych aplikacji i usług, Google posiada również zespół Threat Analysis Group (TAG), którego rolą jest monitorowanie ruchu sieciowego przez całą dobę oraz zapewnianie bezpieczeństwa użytkownikom korzystającym z usług Google i nie tylko. Jednym z zadań grupy jest śledzenie aktywności na czarnym rynku złośliwego i szpiegowskiego oprogramowania.

REKLAMA

W raporcie opublikowanym 30 listopada TAG informuje o zebranych przez grupę informacjach dotyczących frameworków - oprogramowania pomocniczego służącego do tworzenia aplikacji wykorzystujących luki w oprogramowaniu. Według informacji TAG, framework jest bezpośrednio powiązany z hiszpańską firmą Variston IT i umożliwia jego posiadaczom wykorzystywanie luk w Google Chrome, Windows Defender i Firefoxsie do tworzenia oprogramowania szpiegowskiego.

Hiszpańska firma podejrzana o sprzedawanie nielegalnego oprogramowania

Variston IT to hiszpańska firma, będąca dostawcą rozwiązań w zakresie bezpieczeństwa danych, kontroli i pozyskiwania danych oraz internetu rzeczy. Oprócz tego firma świadczy usługi w zakresie niestandardowych poprawek bezpieczeństwa dla systemów, narzędzi do odkrywania danych, szkoleń w zakresie bezpieczeństwa i rozwoju bezpiecznych protokołów dla urządzeń.

Inżynierowie Google o istnieniu frameworku "Heliconia" dowiedzieli się poprzez program zgłaszania błędów w Chrome. Anonimowy użytkownik zgłosił Google w sumie trzy błędy, wraz z instrukcjami jak je odtworzyć oraz archiwum zawierającym kod źródłowy. Dzięki analizie kodu źródłowego, badacze ustalili, że każdy z frameworków ma nazwę: "Heliconia Noise", "Heliconia Soft" i "Files". Każdy z kodów źródłowych był powiązany z hiszpańską firmą Variston IT.

Heliconia Noise to framework, który pozwalał na wykorzystanie błędu w renderowaniu, który pozwala złośliwemu oprogramowaniu na wydostanie się z piaskownicy i rozprzestrzenienie się w systemie operacyjnym. Z kolei Heliconia Soft pozwala na wykorzystanie błędu, który pozwala na zdalne uruchomienie złośliwego pliku PDF i wykorzystanie luki w Windows Defender.

REKLAMA

Jak podaje Google, exploit jest skuteczny w wersjach Firefoxa od 64 do 68, co oznacza, że jego pierwsze wykorzystanie mogło mieć miejsce już w grudniu 2018 roku. Jednocześnie, pomimo że TAG Google nie odnotował aktywnego wykorzystania luk "na wolności", zastrzega, że mogły być one wykorzystane jako luki zero-days, nazwane tak ze względu na fakt, że producenci nie mają świadomości ich istnienia. Wszystkie luki zostały załatane przez Google, Firefoxa i Mozillę na przełomie 2021 i 2022 roku.

Jak mówi Ralf Wegner, dyrektor Variston IT cytowany przez serwis TechCrunch, firma nie miała świadomości prowadzenia przez Google badań nad explotami i nie może potwierdzić ustaleń TAG.

REKLAMA
Najnowsze
REKLAMA
REKLAMA
REKLAMA