谷歌指控西班牙间谍软件供应商利用Chrome、Firefox和；Windows零日

据称，巴塞罗那一家名为Variston IT的监控软件供应商利用谷歌Chrome、Mozilla Firefox和Windows中的几个零日漏洞，偷偷地在目标设备上植入了间谍软件，其中一些漏洞可以追溯到2018年12月。

“他们的Heliconia框架利用了Chrome、Firefox和Microsoft Defender中的n天漏洞，并提供了将有效载荷部署到目标设备所需的所有工具，”谷歌威胁分析小组（TAG）研究人员克莱门特·莱辛（Clement Lecigne）和贝努特·塞文斯（Benoit Sevens）在一篇报道中表示。

Variston拥有一个简单的网站，声称“为我们的客户提供量身定制的信息安全解决方案”，“为任何类型的专有系统设计定制的安全补丁”，并支持“（执法机构）发现数字信息”等服务。

这些漏洞在2021和2022年初由谷歌、微软和Mozilla修补，据信已被零日利用，帮助客户在目标系统上安装他们选择的恶意软件。

Heliconia由三个组件组成，即Noise、Soft和Files，每个组件分别负责在Chrome、Windows和Firefox中部署漏洞攻击。

Noise旨在利用2021 8月修补的Chrome V8 JavaScript引擎中的一个安全缺陷，以及一种名为“Chrome-sbx-gen”的未知沙盒逃逸方法，以在目标设备上安装最终有效负载（也称为“代理”）。

然而，攻击的前提是受害者访问一个陷阱网页以触发第一阶段攻击。

购买者还可以使用JSON文件对Heliconia Noise进行额外配置，以设置不同的参数，如服务攻击的最大次数、服务器的过期日期、非目标访问者的重定向URL以及指定访问者何时应被视为有效目标的规则。

Soft是一个web框架，旨在提供一个诱饵PDF文档，该文档利用了CVE-221-42298漏洞，这是一个影响Microsoft Defender的远程代码执行缺陷，由Redmond于2021 11月修复。在这种情况下，感染链会导致用户访问恶意URL，然后提供武器化的PDF文件。

文件包–；第三框架；包含一个针对Windows和Linux的Firefox漏洞链，该漏洞利用了2022年3月报告的浏览器中的一个释放后使用漏洞（CVE-2022-26485）。然而，据怀疑，至少从2019年起，该漏洞就可能被滥用。

Google TAG表示，在收到匿名提交给其Chrome错误报告程序的报告后，它意识到了Heliconia攻击框架。它进一步指出，目前没有证据表明该工具集被利用，或者表明该工具已被搁置或进一步发展。

五个多月前，这家科技巨头的网络安全部门致力于追踪政府支持的黑客攻击，并将一款之前未发布的Android手机间谍软件Hermit与意大利软件公司RCS实验室联系起来。

研究人员表示：“间谍软件行业的发展使用户面临风险，并降低了互联网的安全性。虽然根据国家或国际法律，监控技术可能是合法的，但它们经常被以有害的方式用于对一系列群体进行数字间谍活动”。