Een Spaanse spywareleverancier maakt gebruik van kwetsbaarheden in Google Chrome, Mozilla Firefox en Windows Defender om zowel Linux- als Windowscomputers te infecteren, zo stelt Google. Firefox-gebruikers zouden mogelijk sinds 2019 zijn aangevallen via een zerodaylek waarvoor Mozilla in maart van dit jaar een beveiligingsupdate uitbracht.

Het bedrijf heet Variston en ontwikkelde volgens Google drie exploitatie-frameworks voor het op afstand besmetten van systemen met spyware. Google kwam de spywareleverancier op het spoor dankzij drie anonieme bugmeldingen. Voor de aanval op Windows Defender maakt het framework van Variston gebruik van een remote code execution kwetsbaarheid (CVE-2021-42298) waarvoor Microsoft vorig jaar een update uitbracht. Bij de aanval wordt een pdf-bestand verstuurd die een exploit bevat. Zodra Microsofts virusscanner het bestand scant raakt het systeem geïnfecteerd.

Voor de aanval op gebruikers van Google Chrome en Mozilla Firefox moeten slachtoffers eerst een malafide website bezoeken. De hierbij gebruikte kwetsbaarheid in Firefox (CVE-2022-26485) werd in maart van dit jaar via een noodpatch door Mozilla verholpen. Destijds meldde de browserontwikkelaar dat gebruikers via het zerodaylek waren aangevallen. Variston gebruikt de kwetsbaarheid zowel voor aanvallen tegen Linux- als Windowscomputers.

De derde kwetsbaarheid, gebruikt voor aanvallen op gebruikers van Google Chrome, werd in augustus 2021 gepatcht. Google heeft dit beveiligingslek geen CVE-nummer gegeven omdat het de kwetsbaarheid zelf ontdekte. Vermoedelijk zijn ook de beveiligingslekken in Chrome en Defender als zeroday gebruikt. Volgens Google laat het onderzoek naar Variston zien dat commerciële spywareleveranciers tegenwoordig over mogelijkheden beschikken die voorheen alleen aan overheden met veel geld en technische expertise waren voorbehouden.