El Grupo de Análisis de Amenazas de Google ha anunciado el descubrimiento de un marco de explotación que utilizó vulnerabilidades ahora parcheadas para propagar spyware. La firma española de TI Variston ha sido vinculada al exploit.
Una empresa de TI española podría haber explotado una vulnerabilidad de Windows
El 30 de noviembre de 2022, el Grupo de análisis de amenazas (TAG) de Google anunció en un Publicación de blog de Google que un marco de explotación llamado "Heliconia" puede tener vínculos con la firma española de TI Variston. El marco aprovechó las vulnerabilidades de Chrome, Firefox y Microsoft Defender ahora parcheadas para implementar software espía peligroso.
Variston, el presunto proveedor de soluciones de seguridad en cuestión, tiene su sede en Barcelona y puede haber aprovechado las vulnerabilidades del día n para propagar spyware. Las vulnerabilidades de día N se refieren a fallas de seguridad explotadas que han sido reparadas. Sin embargo, los investigadores de TAG de Google creen que estas vulnerabilidades se usaron para
hazañas de día cero en la naturaleza antes de los parches.Heliconia Framework puede implementar spyware comercial
El grupo de análisis de amenazas de Google se enteró inicialmente del marco Heliconia a través de un envío en su servicio de informes de errores por parte de un usuario anónimo. El usuario, que reportó tres errores, acuñó el nombre "Heliconia". Los tres informes se denominaron "Heliconia Noise", "Heliconia Soft" y "Files", respectivamente.
Heliconia Noise es un marco que implementa un exploit de Windows para un error del renderizador de Chrome, que luego es seguido por un escape de la zona de pruebas de Chrome y la instalación del agente. Las versiones de Chrome 90.0.4430.72 a 91.0.4472.106 (de abril a junio de 2021) estuvieron expuestas a este exploit hasta agosto de 2021.
El marco Heliconia Soft implementa un PDF que contiene un exploit de Windows Defender. Los archivos consisten en varios exploits para sistemas Linux y Windows.
Heliconia se ocupa de la propagación de spyware comercial en dispositivos específicos. Como se indica en la publicación TAG de Google sobre el tema, este tipo de programa malicioso pone "capacidades de vigilancia avanzadas en manos de gobiernos que las utilizan para espiar a periodistas, activistas de derechos humanos, opositores políticos y disidentes".
El TAG de Google se compromete a combatir el spyware comercial
El TAG de Google concluyó su publicación de blog sobre el marco Heliconia diciendo que "el crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro". Se puede abusar del spyware comercial incluso si "la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales".
Debido a este peligro, Google y TAG han declarado que "seguirán tomando medidas contra la industria del spyware comercial y publicarán investigaciones sobre ella".
El software espía representa un riesgo para millones de usuarios de Internet
El software espía se puede aprovechar para monitorear la actividad digital de las personas sin su permiso o conocimiento. Los datos privados son vulnerables al robo a través del software espía, que se puede utilizar tanto para beneficiar al atacante como para explotar al objetivo. Si bien el software espía comercial puede ser legal en ciertas naciones, aún puede usarse de manera poco ética y puede poner en riesgo a los ciudadanos. Es por eso que equipos como TAG de Google buscan identificar, monitorear y abordar dichos programas de manera continua.