Dopo Hermit (noto come il Pegasus italiano), il Threat Analysis Group (TAG) di Google ha scoperto un altro spyware commerciale usato dai governi per spiare giornalisti, attivisti, dissidenti e oppositori politici. Si tratta di un “exploitation framework”, denominato Heliconia, che sfrutta vulnerabilità di Chrome, Firefox e Microsoft Defender. Il software viene venduto dall’azienda spagnola Variston IT.
Heliconia: funzionalità dello spyware
Google ha avviato da diversi anni la sua lotta contro gli spyware commerciali, considerate “armi digitali” nelle mani di governi senza scrupoli. L’azienda di Mountain View vuole quindi contrastare la diffusione di queste minacce, informando e proteggendo gli utenti. Il nuovo pericolo è appunto Heliconia, sviluppato e venduto da Variston IT.
Il framework, che sfrutta vulnerabilità di Chrome, Firefox e Microsoft Defender (già risolte), include tutti i tool necessari per distribuire il payload sui dispositivi Windows. Google ha aggiornato la protezione Safe Browsing per bloccare eventuali file infetti e l’accesso a siti sospetti, ma al momento non ci sono prove di attacchi in corso.
Il framework è composto da tre componenti principali: Heliconia Noise (exploit per Chrome), Heliconia Soft (exploit per Defender) e Heliconia Files (exploit per Firefox). Noise sfrutta un bug nel motore JavaScript V8 di Chrome per eseguire codice remoto, aggirare la sandbox e installare lo spyware.
Soft distribuisce invece un file PDF con un exploit che sfrutta un bug nel motore JavaScript di Microsoft Defender Malware Protection. Infine, il componente Files sfrutta un bug nel processore XSLT di Firefox per Windows e Linux. Tutte le vulnerabilità sono state risolte tramite patch, quindi è sempre consigliata l’installazione delle ultime versioni dei software.