Google descubre un marco de explotación utilizado para propagar spyware

Google ha descubierto un marco de explotación que utiliza las vulnerabilidades de Windows, Firefox y Chrome ahora parcheadas para implementar spyware.

El Grupo de Análisis de Amenazas de Google anunció el descubrimiento de un marco de explotación que utilizó vulnerabilidades ahora parcheadas para propagar spyware. La empresa española de TI Variston ha sido vinculada al exploit.

Una empresa informática española podría haber aprovechado una vulnerabilidad en Windows

El 30 de noviembre de 2022, el Grupo de análisis de amenazas (TAG) de Google anunció en una publicación de blog de Google que un ejecutivo operativo llamado «Heliconia» puede tener vínculos con la empresa española de TI Variston. El marco explotó vulnerabilidades ahora parcheadas en Chrome, Firefox y Microsoft Defender para implementar spyware peligroso.

Variston, el presunto proveedor de soluciones de seguridad en cuestión, tiene su sede en Barcelona y puede haber aprovechado las vulnerabilidades del día n para propagar spyware. Las vulnerabilidades de día N se refieren a fallas de seguridad explotadas que han sido reparadas. Sin embargo, los investigadores de Google TAG creen que estas vulnerabilidades se utilizaron para exploits de día cero en la naturaleza antes de los parches.

Heliconia Framework puede implementar spyware comercial

El grupo de análisis de amenazas de Google se enteró inicialmente del marco Heliconia a través de un envío en su servicio de informes de errores por parte de un usuario anónimo. El usuario, que reportó tres errores, acuñó el nombre «Heliconia». Los tres informes se denominaron «Heliconia Noise», «Heliconia Soft» y «Files» respectivamente.

Heliconia Noise es un marco que implementa un exploit de Windows para un error del renderizador de Chrome, que luego es seguido por un escape de la zona de pruebas de Chrome y la instalación del agente. Las versiones de Chrome 90.0.4430.72 a 91.0.4472.106 (desde abril hasta junio de 2021) estuvieron expuestas a este exploit hasta agosto de 2021.

El marco Heliconia Soft implementa un PDF que contiene un exploit de Windows Defender. Los archivos consisten en varios exploits para sistemas Linux y Windows.

Heliconia se ocupa de la propagación de spyware comercial en dispositivos específicos. Como se señaló en la publicación TAG de Google sobre el tema, este tipo de malware pone «capacidades de vigilancia avanzada en manos de los gobiernos que las usan para espiar a periodistas, activistas de derechos humanos, opositores políticos y disidentes».

TAG de Google se compromete a luchar contra el spyware comercial

El TAG de Google concluyó su publicación de blog sobre Heliconia Framework diciendo que «el crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro». Se puede abusar del spyware comercial aunque «la tecnología de vigilancia pueda ser legal según las leyes nacionales o internacionales».

Debido a este peligro, Google y TAG dijeron que «seguirán tomando medidas y publicando investigaciones sobre la industria del spyware comercial».

El software espía representa un riesgo para millones de usuarios de Internet

El software espía puede explotarse para monitorear la actividad digital de las personas sin su permiso o conocimiento. Los datos privados son vulnerables al robo a través del software espía, que se puede utilizar tanto para beneficiar al atacante como para explotar al objetivo. Aunque el spyware comercial puede ser legal en algunos países, aún puede usarse de manera poco ética y puede poner en riesgo a los ciudadanos. Es por eso que equipos como el TAG de Google buscan identificar, monitorear y abordar estos programas de manera continua.