Google relacjonuje szczegóły dotyczące oprogramowania: Heliconia. Prawdopodobnie dostarczane jest ono przez hiszpańską firmę Variston IT.
Google wspomina o wykorzystaniu podatności w Chrome / Firefoksie (również na Linuksa) oraz Windows Defenderze.
Szczególnie ta ostatnia luka może wzbudzić niepokój, bo wystarczyło otworzyć podrzuconego (złośliwego) PDFa. Był on skanowany Windows Defenderem i następowało przejęcie komputera ofiary (uprawnienia SYSTEM):
The exploit achieves SYSTEM privileges with a single vulnerability and the only action required by the user is to download a PDF, which triggers a scan by Windows Defender.
Wspomniane podatności są wprawdzie już załatane, ale w momencie użycia były to 0-day:
Although the vulnerabilities are now patched, we assess it is likely the exploits were used as 0-days before they were fixed.
Google sugeruje, że obecnie narzędzie może wykorzystywać zarówno błędy n-day jak i 0-day, sugerując końcowym użytkownikom instalację bieżących aktualizacji:
To ensure full protection against Heliconia and other exploits, it’s essential to keep Chrome and other software fully up-to-date.
Żródło: https://blog.google/threat-analysis-group/new-details-on-commercial-spyware-vendor-variston/
