Clicky

Google acusa a proveedor español de spyware de explotar días cero en Chrome, Firefox y Windows

Variston IT

Variston IT plantó subrepticiamente software espía en dispositivos específicos

Se dice que un proveedor de software de vigilancia con sede en Barcelona llamado Variston IT plantó subrepticiamente software espía en dispositivos específicos al explotar varias fallas de día cero en Google Chrome, Mozilla Firefox y Windows, algunas de las cuales datan de diciembre de 2018.

"Su framework Heliconia explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender, y proporciona todas las herramientas necesarias para implementar una carga útil en un dispositivo de destino", dijeron en un artículo Clement Lecigne y Benoit Sevens, investigadores del Grupo de Análisis de Amenazas (TAG) de Google.

Variston, que tiene un sitio web básico, afirma que "ofrece soluciones de seguridad de la información a medida a nuestros clientes", "diseña parches de seguridad personalizados para cualquier tipo de sistema propietario", y apoya el "descubrimiento de información digital por [agencias encargadas de hacer cumplir la ley]", entre otros servicios.

Se cree que las vulnerabilidades, que fueron reparadas por Google, Microsoft y Mozilla en 2021 y principios de 2022, se utilizaron como días cero para ayudar a los clientes a instalar el malware de su elección en los sistemas objetivo.

Heliconia comprende un trío de componentes, a saber, Noise, Soft y Files, cada uno de los cuales es responsable de implementar exploits contra errores en Chrome, Windows y Firefox, respectivamente.

Heliconia

Noise está diseñado para aprovechar una falla de seguridad en el motor de JavaScript del motor Chrome V8 que se parchó en agosto de 2021, así como un método de escape de sandbox desconocido llamado "chrome-sbx-gen" para habilitar la carga útil final (también conocido como "agente") para ser instalado en los dispositivos de destino.

Sin embargo, el ataque se basa en el requisito previo de que la víctima acceda a una página web con una trampa explosiva para activar la explotación de la primera etapa.

El comprador puede configurar adicionalmente Heliconia Noise usando un archivo JSON para establecer diferentes parámetros como el número máximo de veces para servir los exploits, una fecha de caducidad para los servidores, direcciones URL de redireccionamiento para visitantes no objetivo y reglas que especifican cuándo un visitante debe considerarse un objetivo válido.

Soft es un framework web que está diseñado para entregar un documento PDF de señuelo que presenta un exploit para CVE-2021-42298, una falla de ejecución remota de código que afecta a Microsoft Defender y que fue reparada por Redmond en noviembre de 2021. La cadena de infección, en este caso, implicó que el usuario visitara una URL maliciosa, que luego sirvió el archivo PDF armado.

El paquete Files, el tercer framework, contiene una cadena de explotación de Firefox para Windows y Linux que aprovecha una falla de uso después de la liberación en el navegador que se informó en marzo de 2022 (CVE-2022-26485). Sin embargo, se sospecha que probablemente se abusó del error desde al menos 2019.

Google TAG dijo que se dio cuenta del framework de ataque de Heliconia después de recibir un envío anónimo a su programa de informes de errores de Chrome. Además, señaló que no hay evidencia actual de explotación, lo que indica que el conjunto de herramientas se ha dejado de lado o ha evolucionado más.

El desarrollo llega más de cinco meses después de que la división de seguridad cibernética del gigante tecnológico vinculara un software espía móvil Android previamente no atribuido, denominado Hermit, al equipo de software italiano, RCS Lab.

"El crecimiento de la industria del software espía pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos", dijeron los investigadores.