WhatsApp corrigió falla de clic cero explotada en ataques de spyware Paragon

Iniciado por AXCESS, Marzo 20, 2025, 03:10:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 20, 2025, 03:10:16 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WhatsApp ha corregido una vulnerabilidad de día cero que se utilizaba para instalar el software espía Graphite de Paragon, tras los informes de investigadores de seguridad del Citizen Lab de la Universidad de Toronto.

La compañía abordó el vector de ataque a finales del año pasado "sin necesidad de una solución del lado del cliente" y decidió no asignar un CVE-ID tras "revisar las directrices CVE publicadas por MITRE y sus propias políticas internas".

"WhatsApp ha desmantelado una campaña de spyware de Paragon dirigida a varios usuarios, incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en contacto directamente con las personas que creemos que se vieron afectadas", declaró un portavoz de WhatsApp.

"Este es el último ejemplo de por qué las empresas de spyware deben rendir cuentas por sus acciones ilegales. WhatsApp seguirá protegiendo la comunicación privada de las personas".

El 31 de enero, tras mitigar el exploit de clic cero empleado en estos ataques, WhatsApp notificó a aproximadamente 90 usuarios de Android de más de dos docenas de países, incluyendo periodistas y activistas italianos, que habían sido víctimas del spyware Paragon para recopilar datos confidenciales e interceptar sus comunicaciones privadas.

Citizen Lab descubrió que los atacantes añadieron a los usuarios a un grupo de WhatsApp antes de enviarles un PDF. En la siguiente etapa del ataque, el dispositivo de la víctima procesó automáticamente el PDF, aprovechando la vulnerabilidad de día cero, ya parcheada, para instalar un implante de spyware Graphite en WhatsApp.

Posteriormente, el implante comprometió otras aplicaciones en los dispositivos afectados al escapar del entorno de pruebas de Android. Una vez instalado, el spyware proporciona a sus operadores acceso a las aplicaciones de mensajería de las víctimas.

"Los aproximadamente 90 objetivos notificados por WhatsApp probablemente representan una fracción del total de casos de Paragon. Sin embargo, en los casos ya investigados, existe un patrón preocupante y recurrente de ataques contra grupos de derechos humanos, críticos del gobierno y periodistas", declaró Citizen Lab el miércoles.

Las infecciones de spyware Graphite pueden detectarse en dispositivos Android pirateados mediante un artefacto forense (denominado BIGPRETZEL), que se detecta analizando los registros de los dispositivos afectados.

Sin embargo, la falta de evidencia de infección no excluye que los indicadores forenses se sobrescriban o no se capturen debido a la naturaleza esporádica de los registros de Android.

Citizen Lab también mapeó la infraestructura de servidores utilizada por Paragon para implementar los implantes de spyware Graphite en los dispositivos objetivo, encontrando posibles vínculos con múltiples clientes gubernamentales, como Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.

A partir del dominio de un único servidor dentro de la infraestructura de Paragon, los investigadores desarrollaron múltiples huellas digitales que ayudaron a descubrir 150 certificados digitales vinculados a docenas de direcciones IP que se cree forman parte de una infraestructura dedicada de comando y control.

Fingerprinting Paragon infrastructure (Citizen Lab)


Esta infraestructura incluía servidores en la nube, probablemente alquilados por Paragon o sus clientes, así como servidores probablemente alojados en las instalaciones de Paragon y sus clientes gubernamentales, declaró Citizen Lab.

La infraestructura que encontramos está vinculada a páginas web tituladas 'Paragon', devueltas por direcciones IP en Israel (donde Paragon tiene su sede), así como a un certificado TLS que contiene el nombre de la organización 'Graphite', que es el nombre del software espía de Paragon, y el nombre común 'installerserver' (Pegasus, un producto espía de la competencia, utiliza el término 'Servidor de Instalación' para referirse a un servidor diseñado para infectar un dispositivo con software espía). Paragon Solutions Ltd., desarrollador israelí de software espía, fue fundada en 2019 por Ehud Barak, ex primer ministro israelí, y Ehud Schneorson, ex comandante de la Unidad 8200 de Israel. El grupo de inversión AE Industrial Partners, con sede en Florida, adquirió la empresa en diciembre de 2024.

A diferencia de competidores como NSO Group, Paragon afirma que solo vende sus herramientas de vigilancia a agencias policiales y de inteligencia en países democráticos que buscan perseguir a delincuentes peligrosos.

En diciembre de 2022, el New York Times informó que la Administración para el Control de Drogas de Estados Unidos (DEA) utilizó el software espía Graphite de la empresa. Dos años después, en octubre de 2024, Wired informó que Paragon firmó un contrato de 2 millones de dólares con el Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE).

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario