Google descubre un Windows exploit framework utilizado para implementar spyware

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Grupo de Análisis de Amenazas (TAG) de Google ha vinculado un exploit framework que apunta a vulnerabilidades, ahora parcheadas en los navegadores web Chrome y Firefox y la aplicación de seguridad Microsoft Defender ,a una empresa de software española.

Si bien TAG es el equipo de expertos en seguridad de Google centrado en proteger a los usuarios de Google de los ataques patrocinados por el estado, también realiza un seguimiento de docenas de empresas que permiten a los gobiernos espiar a disidentes, periodistas y opositores políticos mediante herramientas de vigilancia.

El gigante de las búsquedas dice que una empresa de software con sede en Barcelona es uno de estos proveedores de vigilancia comercial y no solo un proveedor de soluciones de seguridad personalizadas como afirma oficialmente.

"Continuando con este trabajo, hoy compartimos los hallazgos sobre un exploit framework con vínculos probables con Variston IT, una empresa en Barcelona, España, que dice ser un proveedor de soluciones de seguridad personalizadas", dijeron Clement Lecigne y Benoit Sevens de Google TAG en Miércoles.

"Su framework Heliconia explota las vulnerabilidades de 0-day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar una carga útil (payload) en un dispositivo de destino".

El marco de explotación (exploit framework) consta de múltiples componentes, cada uno de ellos dirigido a fallas de seguridad específicas en el software en los dispositivos de los objetivos:

    Heliconia Noise: un web framework  para implementar un exploit de error del renderizador de Chrome seguido de un escape de sandbox en Chrome para instalar agentes en el dispositivo de destino

    Heliconia Soft: un web framework que implementa un PDF que contiene el exploit de Windows Defender rastreado como CVE-2021-42298

    Heliconia Files: un conjunto de exploits de Firefox para Linux y Windows, uno rastreado como CVE-2022-26485

Para Heliconia Noise y Heliconia Soft, los exploits finalmente desplegarían un agente llamado 'agent_simple' en el dispositivo comprometido.

Sin embargo, la muestra de este framework analizada por Google contenía un agente ficticio que se ejecuta y sale sin ejecutar ningún código malicioso.

Google cree que el cliente del framework proporciona su propio agente o es parte de otro proyecto al que no tiene acceso.

Aunque no hay evidencia de explotación activa de las vulnerabilidades de seguridad específicas, y Google, Mozilla y Microsoft las parchearon en 2021 y principios de 2022, Google TAG dice que "parece probable que se hayan utilizado como cero days en la naturaleza".

Un portavoz de Variston IT no estuvo disponible de inmediato para hacer comentarios.

Enlaces a Varonis IT encontrados en el script de limpieza previo a la confirmación (Google TAG)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esfuerzos de Google para el rastreo de los proveedores de spyware

En junio, el equipo TAG de la compañía también reveló que algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de spyware RCS Labs a implementar herramientas comerciales de vigilancia en los dispositivos de los usuarios de Android e iOS en Italia y Kazajstán.

Durante los ataques, se solicitó a los objetivos que instalaran aplicaciones maliciosas (camufladas como aplicaciones legítimas de operadores de telefonía móvil) en descargas automáticas para volver a conectarse después de que su conexión a Internet se interrumpiera con la ayuda de su ISP.

Un mes antes, Google TAG expuso otra campaña de vigilancia cuando los actores de amenazas respaldados por el estado, explotaron cinco errores de día cero para instalar el software espía Predator desarrollado por el desarrollador comercial de software espía Cytrox.

Google dijo en ese momento que estaba rastreando activamente a más de 30 proveedores con diferentes niveles de exposición pública y sofisticación que venden capacidades de vigilancia o explotaciones a grupos o actores de amenazas patrocinados por el gobierno.

"El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos", dijo Google. TAG añadido hoy.

"Estos abusos representan un grave riesgo para la seguridad en línea, por lo que Google y TAG continuarán tomando medidas y publicando investigaciones sobre la industria del software espía comercial".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta