Se dice que un proveedor de software de vigilancia con sede en Barcelona llamado Variston IT plantó subrepticiamente software espía en dispositivos específicos al explotar varias fallas de día cero en Google Chrome, Mozilla Firefox y Windows, algunas de las cuales datan de diciembre de 2018.
«Su marco Heliconia explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender, y proporciona todas las herramientas necesarias para implementar una carga útil en un dispositivo de destino», los investigadores del Grupo de análisis de amenazas (TAG) de Google, Clement Lecigne y Benoit Sevens. dijo en un escrito.
Variston, que tiene un sitio web básicoafirma «ofrecer soluciones de seguridad de la información a la medida de nuestros clientes», «diseñar parches de seguridad personalizados para cualquier tipo de sistema propietario» y respaldar el «descubrimiento de información digital por [law enforcement agencies]”, entre otros servicios.
Se cree que las vulnerabilidades, que fueron reparadas por Google, Microsoft y Mozilla en 2021 y principios de 2022, se utilizaron como días cero para ayudar a los clientes a instalar el malware de su elección en los sistemas objetivo.
Heliconia comprende un trío de componentes, a saber, Noise, Soft y Files, cada uno de los cuales es responsable de implementar exploits contra errores en Chrome, Windows y Firefox, respectivamente.
El ruido está diseñado para aprovechar una falla de seguridad en el motor de JavaScript del motor Chrome V8 que se reparó en agosto de 2021, así como en un método de escape de sandbox desconocido llamado «chrome-sbx-gen» para permitir que la carga útil final (también conocida como «agente») se instale en los dispositivos de destino.
Sin embargo, el ataque se basa en el requisito previo de que la víctima acceda a una página web con una trampa explosiva para activar la explotación de la primera etapa.
El comprador puede configurar adicionalmente Heliconia Noise mediante un archivo JSON para establecer diferentes parámetros, como la cantidad máxima de veces para servir los exploits, una fecha de vencimiento para los servidores, URL de redireccionamiento para visitantes no objetivo y reglas que especifican cuándo un visitante debe ser considerado un objetivo válido.
Soft es un marco web que está diseñado para entregar un documento PDF de señuelo que presenta un exploit para CVE-2021-42298, una falla de ejecución remota de código que afecta a Microsoft Defender que Redmond solucionó en noviembre de 2021. La cadena de infección, en este caso, implicó la usuario visitando una URL maliciosa, que luego sirvió el archivo PDF armado.
El paquete Files, el tercer marco, contiene una cadena de explotación de Firefox para Windows y Linux que aprovecha una falla de uso después de la liberación en el navegador que se informó en marzo de 2022 (CVE-2022-26485). Sin embargo, se sospecha que probablemente se abusó del error desde al menos 2019.
Google TAG dijo que se dio cuenta del marco de ataque de Heliconia después de recibir un envío anónimo a su programa de informes de errores de Chrome. Además, señaló que no hay evidencia actual de explotación, lo que indica que el conjunto de herramientas se ha dejado de lado o ha evolucionado más.
El desarrollo llega más de cinco meses después de que la división de seguridad cibernética del gigante tecnológico vinculara un software espía móvil Android previamente no atribuido, denominado Hermit, al equipo de software italiano, RCS Lab.
«El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos», dijo el dijeron los investigadores.