MADRID, 30 (Portaltic/EP)
El grupo de análisis de amenazas (TAG, por sus siglas en inglés) de Google ha alertado de un ataque de ‘spyware’ que vincula a la empresa española Variston, que estaría proveyendo entornos adecuados para la proliferación de ataques de día cero o ‘zero day’ en Emiratos Árabes Unidos (EAU).
TAG es un equipo especializado de expertos en seguridad que trabaja para identificar, reportar y detener el ‘phishing’ y el ‘hackeo’ respaldado por el Gobierno contra Google y las personas que utilicen sus productos.
Por su parte, Variston IT se define como una proveedora de soluciones de seguridad personalizadas con sede en Barcelona, que desarrolla kits de herramientas para inyectar programas de este tipo.
El equipo de Google ha anunciado que actualmente rastrea la actividad de más de 30 proveedores con diferentes niveles de sofisticación que venden ‘exploits’ o capacidades de vigilancia a actores respaldados por el Gobierno.
Con ello, ha compartido detalles sobre dos campañas maliciosas descubiertas en Android, iOS y Chrome, con un alcance limitado y específico en el que se explotaron vulnerabilizades ‘zero day’ -para las que aún no existe un parche- y N-Day, que sí cuentan con una corrección disponible.
Según Google, tras su investigación ha podido saber “hasta qué punto los proveedores de vigilancia comercial han proliferado las capacidades que históricamente solo han utilizado los gobiernos con experiencia técnica para desarrollar y poner en funcionamiento los exploits”, según ha comentado en un comunicado.
En diciembre de 2022, TAG descubrió una cadena completa de explotación que constaba de varios ‘zero days’ y ‘N-Days’ dirigidos a la última versión del navegador de Internet de Samsung y que se entregaron a través de SMS en formato de enlace a dispositivos ubicados en Emiratos Árabes Unidos.
Según este equipo de expertos en ciberseguridad, este enlace fraudulento redirigía a las víctimas a una página de inicio idéntica a la examinada en el marco de explotación Heliconia, desarrollado por Variston. Este explota las vulnerabilidades de ‘N-Day’ de Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar carga útil en los dispositivos de destino.
TAG vincula esta campaña con Variston, y señala que “el actor que utiliza la cadena de explotación para atacar a los usuarios de los EAU puede ser un cliente o socio” de esta compañía española, o “trabajar en estrecha colaboración con el proveedor del spyware”.
ENLACES MALICIOSOS PARA SITIOS WEB LEGÍTIMOS
TAG advirtió otra campaña maliciosa en noviembre de 2022, cuando descubrió una serie de cadenas de ‘exploits’ ‘zero-day’ que afectaban a usuarios de Android e iOS, a los que se enviaban enlaces bit.ly por SMS.
Estos mensajes, que llegaron a usuarios de Italia, Malasia y Kazajistán, contenían enlaces que redirigían a los visitantes a páginas que albergaban ‘exploits’ para estos sistemas operativos y, a continuación, los redirigían a sitios web legítimos.
Por un lado, la cadena de ‘exploits’ de iOS estaba dirigida a versiones anteriores a la 15.1 del sistema operativo e incluía ‘exploits’ que permitían la ejecución en remoto de código WebKit y otros dos que Apple pudo solucionar relacionados con el control PAC y el acelerador AGX.
La cadena de explotación de Android, en cambio, se dirigió a usuarios con una GPU ARM que ejecutaba versiones de Chrome anteriores a la 106. Uno de los tres ‘exploits’ que formaban parte de esta campaña fue una vulnerabilidad de confusión de tipos, que permite a los atacantes acceder de a la memoria del dispositivo de forma fraudulenta.
En base a sus investigaciones, la compañía tecnológica ha reconocido que la existencia de estas campañas sugiere que los propios proveedores de ‘spyware’ -en este caso, Variston- “comparten exploits y técnicas” con los ciberdelincuentes, “lo que permite la proliferación de herramientas de piratería peligrosas”.
- Te recomendamos -