Monitor Software


Google acusa a empresa de instalar malware de espionaje

Google acusa a empresa de instalar malware de espionaje
Estos marcos de archivos contenían una cadena de exploits

Publicación:02-12-2022
++--

La lista de empresas proveedoras de soluciones en ciberseguridad que desarrollan a la par programas exploits no cesa.

 

 Tras los recientes casos, algunos más mediáticos que otros, de NSO Group, Hacking Team, Candiru y Accuvant, se suma la española Variston que acaba de ser señalada por Google.

Según el gigante tecnológico, esta compañía con sede en Barcelona oculta un servicio que no describe en su página web. Que si parches de seguridad, herramientas de seguridad personalizadas, desarrollo de protocolos para dispositivos integrados, tecnología para integradores de SCADA… pero, como es lógico, nada de los marcos de software que ayudan a quienes los necesitan a instalar un malware en un dispositivo con el objetivo de espiarlo.

Estos marcos de archivos contenían una cadena de exploits. Programas diseñados con el fin de aprovechar una vulnerabilidad concreta de un sistema. Para ello, quienes los preparan primero deben analizar el sistema informático que quieren atacar. Luego, observar si existen vulnerabilidades en las características del sistema investigado y que pueden encontrarse en diversas partes de la estructura de una aplicación web, un sistema operativo o cualquier otro software. Y finalmente hacer uso de estos exploits, para obtener el acceso a la consola del sistema operativo, instalar un malware o desatar una cadena de ejecuciones de código en el dispositivo.

Según el informe del Grupo de análisis de amenazas de Google, estos marcos se utilizaron en concreto para explotar vulnerabilidades de n-day, es decir un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. «La investigación subraya que la industria de la vigilancia comercial está prosperando y se ha expandido significativamente en los últimos años, creando riesgos para los usuarios de internet en todo el mundo (…) el spyware comercial (también) pone capacidades avanzadas de vigilancia en manos de los gobiernos que las utilizan para espiar a periodistas, activistas de derechos humanos, oposición política y disidentes», destacan dicho informe.

Cronología de los hechos

Todo esto ocurrió, al menos, entre 2021 y 2022 pero ¿cómo llegó a oídos de Google? A través de una fuente anónima y a través del programa de informes de errores Chrome de Google. En este caso, se adjuntaba con instrucciones y un archivo que contenía el código fuente. Además, los frameworks venían con los nombres Heliconia Noise, Heliconia Soft y Files y los marcos contenían «código fuente maduro capaz de implementar exploits para Chrome, Windows Defender y Firefox», respectivamente.

Incluido en el marco Heliconia Noise, se encontraba también un código para limpiar archivos binarios antes de que sean producidos por el marco para garantizar que no contengan cadenas que puedan incriminar a los desarrolladores de Variston.

Los marcos explotaron vulnerabilidades que Google, Microsoft y Firefox finalmente corrigieron. Por ejemplo, Heliconia Noise incluyó un exploit para el renderizador de Chrome, junto con un exploit para escapar de la caja de arena de seguridad de Chrome, que está diseñada para mantener el código no confiable contenido en un entorno protegido que no puede acceder a partes sensibles de un sistema operativo.

Por su parte, Heliconia Soft incluía un archivo PDF que explotaba el CVE-2021-42298, un error en el motor JavaScript de Microsoft Defender Malware Protection, que pudo ser corregido en noviembre de 2021. Con solo enviar a alguien dicho pdf se podían conseguir los codiciados privilegios del sistema en Windows ya que Windows Defender escaneaba automáticamente los archivos entrantes.

También explotaba CVE-2022-26485, una vulnerabilidad de uso posterior a la liberación que Firefox solucionó en marzo de este año. Aunque los investigadores sospechan que las vulnerabilidades pudieron haber sido afectadas ya desde 2019.

Según el Grupo de análisis de amenazas de Google, el crecimiento de la industria del spyware coloca a los usuarios en riesgo y hace que internet sea menos segura. Sin embargo, la situación se confía si quienes están detrás de estas acciones son empresas de ciberseguridad que venden servicios y productos que van en contra de la propia naturaleza de la empresa.



« Especial »