El Grupo de Análisis de Amenazas (TAG) de Google ha vinculado un marco de explotación que apunta a vulnerabilidades ahora parcheadas en los navegadores web Chrome y Firefox y en la aplicación de seguridad de Microsoft Defender.
Ven la luz más de 5,4 millones de datos de usuarios de Twitter
Si bien, TAG es el equipo de expertos en seguridad de Google centrado en proteger a los usuarios de Google de los ataques patrocinados por el estado, también realiza un seguimiento a docenas de empresas que permiten a los gobiernos espiar a disidentes, periodistas y opositores políticos mediante herramientas de vigilancia.
El gigante de las búsquedas, dice que la empresa de software con sede en Barcelona Variston IT es uno de estos proveedores de “vigilancia comercial” y no solo un proveedor de soluciones de seguridad personalizadas como afirma oficialmente.
“Continuando con este trabajo, hoy compartimos los hallazgos sobre un marco de explotación con vínculos probables con Variston IT, una empresa en Barcelona -España- que dice ser un proveedor de soluciones de seguridad personalizadas”, dice Clement Lecigne y Benoit Sevens de Google TAG.
Más de 50 millones de contraseñas fueron robadas en apenas 7 meses
El marco Heliconia -de Variston IT- explota las vulnerabilidades de 0 Day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar una carga útil en un dispositivo de destino.
El marco de explotación consta de múltiples componentes, cada uno de ellos dirigido a fallas de seguridad específicas en el software en los dispositivos de los objetivos:
- Heliconia Noise: un marco web para implementar un exploit de error del renderizador de Chrome seguido de un escape de espacio aislado de Chrome para instalar agentes en el dispositivo de destino
- Heliconia Soft: un marco web que implementa un PDF que contiene el exploit de Windows Defender rastreado como CVE-2021-42298
- Heliconia Files: un conjunto de exploits de Firefox para Linux y Windows, rastreado como CVE-2022-26485
Para Heliconia Noise y Heliconia Soft, los exploits finalmente desplegarían un agente llamado ‘agent_simple’ en el dispositivo comprometido.
Sin embargo, la muestra de este marco analizada por Google contenía un agente ficticio que se ejecuta y sale sin ejecutar ningún código malicioso.
Grupo de extorsión de Donut ataca a las víctimas mediante ransomware
Google cree que el cliente del marco proporciona su propio agente o es parte de otro proyecto al que no tiene acceso.
Aunque no hay evidencia de explotación activa de las vulnerabilidades de seguridad específicas y Google, Mozilla y Microsoft las parchearon en 2021 y principios de 2022, Google TAG dice que “parece probable que se hayan utilizado como ataques de 0 Day en su naturaleza”.
Esfuerzos de rastreo de proveedores de spyware de Google
Anteriormente, el equipo TAG de la compañía también reveló que algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de spyware RCS Labs a implementar herramientas comerciales de vigilancia en los dispositivos de los usuarios de Android e iOS en Italia y Kazajstán.
Esto es lo que necesitas saber antes de acceder al campo de la ciberseguridad
Durante los ataques, se solicitó a los objetivos que instalaran aplicaciones maliciosas (camufladas como aplicaciones legítimas de operadores de telefonía móvil) en descargas automáticas para volver a conectarse después de que su conexión a Internet se interrumpiera con la ayuda de su ISP.
Un mes antes, Google TAG expuso otra campaña de vigilancia cuando los actores de amenazas respaldados por el estado explotaron cinco errores de día cero para instalar el software espía Predator desarrollado por el desarrollador comercial de software espía Cytrox.
Estos abusos representan un grave riesgo para la seguridad en línea, por lo que Google y TAG continuarán tomando medidas y publicando investigaciones sobre la industria del software espía comercial.