Investigadores descubren un nuevo framework de exploits para Windows utilizado para implementar spyware
El Grupo de Análisis de Amenazas (TAG) de Google ha vinculado un framework de explotación que apunta a vulnerabilidades ahora parcheadas en los navegadores web Chrome y Firefox y la aplicación de seguridad Microsoft Defender a una empresa de software española.
Si bien TAG es el equipo de expertos en seguridad de Google centrado en proteger a los usuarios de Google de los ataques patrocinados por estados, no se limitan a Google. El equipo también realiza un seguimiento de docenas de empresas que permiten a los gobiernos espiar a disidentes, periodistas y opositores políticos mediante herramientas de vigilancia.
El gigante de las búsquedas dice que la empresa de software con sede en Barcelona es uno de estos proveedores de vigilancia comercial y no solo un proveedor de soluciones de seguridad personalizadas como afirma oficialmente.
“Continuando con este trabajo, hoy compartimos los hallazgos sobre un marco de explotación con vínculos probables con Variston IT. Variston es una empresa en Barcelona, España, que dice ser un proveedor de soluciones de seguridad personalizadas”.
“Su marco Heliconia explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar un payload en un dispositivo de destino”.
Clement Lecigne y Benoit Sevens de Google TAG
Una vulnerabilidad n-day es una vulnerabilidad explotada que tiene un parche disponible. Esto difiere de los exploits de día cero, que son nuevos y esperan parches del proveedor comprometido. Es comprensible que los exploits más nuevos sean más buscados y costosos, pero estos exploits aparentemente “obsoletos” continúan circulando y creciendo en popularidad.
Herramientas utilizadas para implementar spyware
El marco de explotación consta de múltiples componentes. Cada uno de los componentes está dirigido a vulnerabilidades de seguridad específicas en el software en los dispositivos de los objetivos:
- Heliconia Noise: Es un marco web para implementar un exploit de error del renderizador de Chrome seguido de un escape de la sandbox de Chrome para instalar agentes en el dispositivo de destino.
El cliente puede configurar Heliconia Noise para establecer cosas como la cantidad máxima de veces para enviar los exploits, una fecha de vencimiento y reglas que especifican cuándo un visitante debe considerarse un objetivo válido.
- Heliconia Soft: un marco web que implementa un PDF que contiene el exploit para una vulnerabilidad de Windows Defender identificada como CVE-2021-42298.
El simple hecho de enviar el documento a alguien fue suficiente para obtener los codiciados privilegios del sistema en Windows porque Windows Defender analizó automáticamente los archivos entrantes.
- Heliconia Files: un conjunto de exploits para una vulnerabilidad de Firefox cuando se ejecuta en Linux y Windows. Específicamente, para la vulnerabilidad identificada como CVE-2022-26485.
Vulnerabilidades explotadas con anterioridad
Los investigadores dijeron que Heliconia Files probablemente explotó la vulnerabilidad desde al menos 2019, mucho antes de que fuera conocida públicamente o parcheada. Funcionó contra las versiones 64 a 68 de Firefox. El escape de sandbox en el que se basaban los archivos se corrigió en 2019
Para Heliconia Noise y Heliconia Soft, los exploits finalmente despliegan un agente llamado ‘agent_simple’ en el dispositivo comprometido.
Sin embargo, la muestra de este marco analizada por Google contenía un agente ficticio que se ejecuta y sale sin ejecutar ningún código malicioso.
Google cree que el cliente del marco proporciona su propio agente o es parte de otro proyecto al que no tiene acceso.
Aunque no hay evidencia de explotación activa de las vulnerabilidades de seguridad específicas, y Google, Mozilla y Microsoft las parchearon en 2021 y principios de 2022, Google TAG dice que “parece probable que se hayan utilizado como días cero en el entorno”.
Hasta este momento, ninguna persona asociada Variston IT ha brindado ninguna declaración con respecto a los hallazgos.
Esfuerzos de Google para rastrear proveedores de spyware
En junio, el equipo TAG de la compañía también reveló que algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de spyware RCS Labs a implementar herramientas comerciales de vigilancia en los dispositivos de los usuarios de Android e iOS en Italia y Kazajstán.
Durante los ataques, se solicitó a los objetivos que instalaran aplicaciones maliciosas (camufladas como aplicaciones legítimas de operadores de telefonía móvil) en descargas automáticas para volver a conectarse después de que su conexión a Internet se interrumpiera con la ayuda de su ISP.
Un mes antes, Google TAG expuso otra campaña de vigilancia cuando los ciberdelincuentes respaldados por el estado explotaron cinco vulnerabilidades de día cero para instalar el spyware Predator. Predator ha sido desarrollado por el desarrollador comercial de spyware Cytrox.
Google dijo en ese momento que está rastreando activamente a más de 30 proveedores con diferentes niveles de exposición pública y sofisticación que venden capacidades de vigilancia o explotaciones a grupos o ciberdelincuentes patrocinados por el gobierno.
Los investigadores divulgaron sus hallazgos en un intento de interrumpir el mercado del spyware, que según dijeron está en auge y representa una amenaza para varios grupos.
“El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos”.
“Estos abusos representan un grave riesgo para la seguridad en línea, por lo que Google y TAG continuarán tomando medidas y publicando investigaciones sobre la industria del software espía comercial”.
TAG de Google