La palabra ZERO-DAY está escondida en medio de una pantalla llena de unos y ceros.

Investigadores de Google dijeron el miércoles que vincularon a una empresa de TI con sede en Barcelona, ​​España, con la venta de marcos de software avanzados que explotan vulnerabilidades en Chrome, Firefox y Windows Defender.

Variston IT se describe a sí mismo como un proveedor de soluciones de seguridad de la información personalizadas, incluida la tecnología integrada SCADA (Control de supervisión y adquisición de datos) e integradores para Internet de las cosas, parches de seguridad personalizados para sistemas propietarios, herramientas de descubrimiento de datos, capacitación en seguridad y más Desarrollo de protocolo seguro para dispositivos integrados. Según un informe del Threat Analysis Group de Google, Variston vende otro producto que no se menciona en su sitio web: marcos de software que brindan todo lo que un cliente necesita para instalar malware de manera sigilosa en los dispositivos que desea espiar.

Los investigadores Clement Lecigne y Benoit Sevens dijeron que los marcos de explotación se utilizaron para explotar las vulnerabilidades de N-Day que se parchearon recientemente, por lo que algunos objetivos aún no las tienen instaladas. La evidencia sugiere, agregaron, que los marcos se usaron incluso cuando las vulnerabilidades eran de día cero. Los investigadores están publicando sus hallazgos en un intento de interrumpir el mercado del software espía, que dicen que está en auge y representa una amenaza para varios grupos.

«La investigación de TAG subraya que la industria de la vigilancia comercial está prosperando y se ha expandido significativamente en los últimos años, lo que plantea riesgos para los usuarios de Internet de todo el mundo», escribieron. «El spyware comercial brinda a los gobiernos capacidades de vigilancia avanzadas, que utilizan para espiar a periodistas, activistas de derechos humanos, opositores políticos y disidentes».

Luego, los investigadores catalogaron los marcos, que recibieron de una fuente anónima a través del programa Chrome Error Reporting de Google. Cada uno venía con instrucciones y un archivo que contenía el código fuente. Los marcos se llamaron Heliconia Noise, Heliconia Soft y Files. Cada uno de los marcos contenía «código fuente maduro que puede proporcionar vulnerabilidades para Chrome, Windows Defender y Firefox».

El marco Heliconia Noise incluía un código para desinfectar los archivos binarios antes de que el marco los produzca para garantizar que no contengan cadenas que puedan sobrecargar a los desarrolladores. Como muestra la imagen del script de limpieza, la lista de cadenas defectuosas incluía «Variston».

heliconia noise cleaning script

Google

Los funcionarios de Variston no respondieron a un correo electrónico solicitando comentarios sobre esta publicación.

Los marcos explotaron vulnerabilidades que Google, Microsoft y Firefox solucionaron en 2021 y 2022. Heliconia Noise incluía un exploit de representación de Chrome y un exploit para salir del entorno limitado de seguridad de Chrome, que está diseñado para mantener el código no confiable en un entorno protegido que no puede acceder a partes sensibles de un sistema operativo. Dado que las vulnerabilidades se descubrieron internamente, no hay designaciones de CVE.

El cliente puede configurar Heliconia Noise para establecer cosas como la cantidad máxima de veces que se sirven los exploits, una fecha de vencimiento y reglas sobre cuándo un visitante debe considerarse un objetivo válido.

Heliconia Soft contenía un PDF con trampa explosiva que explotaba CVE-2021-42298, un error en el motor de JavaScript de Microsoft Defender Malware Protection que se solucionó en noviembre de 2021. Simplemente enviar el documento a alguien fue suficiente para obtener los codiciados privilegios del sistema en Windows, porque Windows Defender escanea automáticamente los archivos entrantes.

El marco de Files contenía una cadena de exploits completamente documentada para Firefox en Windows y Linux. Aprovecha CVE-2022-26485, una vulnerabilidad de uso posterior a la liberación que Firefox solucionó en marzo pasado. Los investigadores dijeron que Files probablemente había estado explotando la vulnerabilidad de ejecución de código desde al menos 2019, mucho antes de que fuera conocida públicamente o parcheada. Funcionó con las versiones 64 a 68 de Firefox. Los archivos de escape de sandbox en los que se basaban los archivos se repararon en 2019.

Los investigadores pintaron una imagen de un mercado de exploits fuera de control. Escriben:

La investigación de TAG ha demostrado la proliferación de la vigilancia comercial y la medida en que los proveedores comerciales de spyware han desarrollado capacidades que anteriormente solo estaban disponibles para los gobiernos con mucho dinero y conocimientos técnicos. El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque las tecnologías de vigilancia pueden ser legales según las leyes nacionales o internacionales, a menudo se utilizan de manera maliciosa para realizar espionaje digital contra una variedad de grupos. Estos abusos representan un grave riesgo para la seguridad en línea, razón por la cual Google y TAG continuarán tomando medidas y publicando investigaciones sobre la industria del spyware comercial.

Variston se une a las filas de otros proveedores de exploits, incluidos NSO Group, Hacking Team, Accuvant y Candiru.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí