Google, a través su Grupo de Análisis de Amenazas, anuncia una acción que bloquea una herramienta dirigida a los ordenadores, y que aparentemente fue desarrolla por una empresa española.

La investigación del Grupo de Analisis TAG destaca que la industria de la vigilancia comercial está prosperando y se ha expandido significativamente en los últimos años, creando un riesgo para los usuarios de Internet en todo el mundo. El spyware comercial pone capacidades de vigilancia avanzadas en manos de gobiernos que las utilizan para espiar a periodistas, activistas de derechos humanos, opositores políticos y disidentes.

El marco de explotación, denominado ‘Heliconia’, llamó la atención de Google tras una serie de envíos anónimos al programa de informes de errores de Chrome. Las revelaciones señalaron vulnerabilidades explotables en Windows Defender, Firefox y Chrome que podrían utilizarse para implementar spyware en los dispositivos, incluidos los ordenadores con Windows y Linux.

Heliconia explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar una carga útil en un dispositivo de destino. Google, Microsoft y Mozilla corrigieron las vulnerabilidades afectadas en 2021 y principios de 2022. Si bien no hemos detectado una explotación activa, según la investigación a continuación, parece probable que se hayan utilizado como días cero en la naturaleza. TAG ha creado detecciones en Navegación segura para advertir a los usuarios cuando intentan navegar a sitios peligrosos o descargar archivos peligrosos. Para garantizar una protección total contra Heliconia y otros exploits,

TAG se dio cuenta del marco Heliconia cuando Google recibió un envío anónimo al programa de informes de errores de Chrome. El remitente presentó tres errores, cada uno con instrucciones y un archivo que contenía el código fuente. Usaron nombres únicos en los informes de errores, incluidos «Heliconia Noise», «Heliconia Soft» y «Files». TAG analizó los envíos y descubrió que contenían marcos para implementar exploits en la naturaleza y un script en el código fuente incluía pistas que apuntaban al posible desarrollador de los marcos de explotación, Variston IT.

Los marcos de explotación, que se enumeran a continuación, incluían un código fuente maduro capaz de implementar exploits para Chrome, Windows Defender y Firefox. Aunque las vulnerabilidades ahora están parcheadas, evaluamos que es probable que las vulnerabilidades se usaran como 0 días antes de que se repararan.

Heliconia Noise: un marco web para implementar un exploit para un error del renderizador de Chrome seguido de un escape de sandbox
Heliconia Soft: un marco web que implementa un PDF que contiene un exploit de Windows Defender
Archivos: un conjunto de exploits de Firefox para Linux y Windows.