Обнаружен фреймворк для атак на уязвимости Chrome, Firefox и Defender

Татьяна Никитина 01 Декабря 2022 - 17:28

Домашние пользователи

...

Проведенный Google TAG (Threat Analysis Group) анализ показал, что фреймворк состоит из трех модулей, предназначенных для эксплуатации известных уязвимостей в Chrome, Firefox либо Microsoft Defender. В состав Heliconia также включены инструменты, необходимые для развертывания полезной нагрузки.

О появлении новой угрозы эксперты узнали из отчета об уязвимостях, поданного анонимно в рамках программы по поиску багов в Chrome. Заявитель привел также способы эксплойта, приложив архив с исходными кодами, поименованными как Heliconia Noise, Heliconia Soft и Files.

Как оказалось, это модули, входящие в состав фреймворка. В исходниках был также обнаружен скрипт, сливающий имена проекта (heliconia), создателя (несколько вариантов) и компании-разработчика (variston).

В последнем случае это вполне может быть испанская Variston IT, подвигающая свои услуги по созданию кастомных ИБ-решений. Исследователи подозревают, что на самом деле эта небольшая компания занимается разработкой коммерческих программ-шпионов, которые некоторые страны используют для слежки за диссидентами, правозащитниками и журналистами (вспомним Pegasus производства NSO Group).

Согласно результатам исследования, фреймворк Heliconia состоит из трех модулей:

Noise для эксплойт-атаки на Chrome (RCE-уязвимость в движке V8, побег из песочницы, установка агента);
Soft с вредоносным PDF — эксплойтом CVE-2021-42298 для Microsoft Defender (повышение привилегий до SYSTEM, загрузка и запуск агента);
Files, запускающий цепочку эксплойтов для Firefox на Windows и Linux (CVE-2022-26485, побег из песочницы, специфичный для Windows-версии браузера).

Все перечисленные уязвимости вендоры уже закрыли, однако Google TAG не исключает, что соответствующие эксплойты могли применяться в атаках еще до выхода патчей (как 0-day). Данных об использовании Heliconia злоумышленниками пока нет.

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Декабря 2025 - 21:23

Фишинг Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации F6

Фальшивый «Roblox без VPN» ворует аккаунты, предупреждают россиян

Пока российские игроки пытаются понять, как вернуться в Roblox после блокировки, мошенники уже нашли способ нажиться на их азарте. Как рассказала старший аналитик департамента Digital Risk Protection компании F6 Мария Синицына, киберпреступники создали фишинговый сайт, который обещает «волшебный» доступ к Roblox без VPN — нужно лишь ввести логин и пароль.

Дальше, как вы понимаете, начинается классика жанра: сайт оказывается подделкой, данные улетают злоумышленникам, а аккаунт — в их руки.

По словам Синицыной, которые передаёт РИА Новости, фейковый ресурс предлагает подключение к неким прокси-серверам, которые якобы позволяют играть без ограничений. Для этого пользователю предлагают аутентифицироваться в своём аккаунте Roblox — и на этом моменте игрок уже проиграл, причём не в игре.

Для мошенников особенно ценны аккаунты с игровой валютой, редкими персонажами, предметами и аксессуарами. Но настоящий джекпот — это профили, на которых созданы популярные игры внутри Roblox. Такие учётки продают за приличные суммы.

Параллельно в соцсетях и мессенджерах начали появляться страницы, предлагающие «специальные VPN для Roblox». По словам эксперта, часть таких предложений — просто способ привлечь трафик, но среди них встречаются и прямые мошенники: оплату возьмут, сервиса не дадут, а то и «подарят» вашему устройству вредонос.

Синицына советует относиться к таким ресурсам максимально осторожно:

не переходить по подозрительным ссылкам,
не верить сайтам, которые обещают «обход блокировок в один клик»,
помнить, что мошенники активно используют информационный шум вокруг блокировки Roblox.

Буквально вчера мы писали, что мошенники освоили тему разблокировки Roblox для краж с карт родителей. Поскольку схема основана исключительно на социальной инженерии и не требует технических навыков, её активно используют обычные аферисты.

Напомним, что в декабре Роскомнадзор подтвердил блокировку Roblox в России, заявив о распространении на платформе материалов экстремистского характера.

Пока неизвестно, вернётся ли Roblox в Россию, но одно ясно точно: мошенники будут использовать ситуацию до последнего. Поэтому лучше не поддаваться «легким решениям» — они обычно заканчиваются потерей аккаунта и нервов.

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »