El grupo de análisis de amenazas (TAG, por sus siglas en inglés) de Google ha alertado sobre un ‘spyware’ vinculado a Variston IT, que contiene un marco de explotación que afecta a los navegadores Firefox y Chrome, así como a la herramienta de seguridad de Microsoft, Defender.
La empresa Variston IT, que se define como una proveedora de soluciones de seguridad personalizadas y tiene sede en Barcelona, está relacionada con este ‘malware’ espía porque provee el entorno adecuado para hacerlo funcionar.
TAG dio cuenta de este problema cuando Google recibió una serie de informes anónimos en el que se notificaban errores en Chrome. El remitente utilizó tres nombres, que designaban tres marcos de explotación diferentes: Heliconia Noise, Heliconia Soft y Files.
De acuerdo con los análisis llevados a cabo por este departamento de seguridad, se supo que estos marcos de explotación –que contenían indicios de que Variston IT era su desarrollador– incluían código fuente capaz de desplegar ‘exploits’ para Chrome, Microsoft Defender y Firefox.
Por un lado, Heliconia Noise ataca a un error del renderizador de Chrome. Este permite ejecutar el ‘malware’ en el sistema operativo y es compatible con las versiones de Chrome desde la 90.0.4430.72 (con fecha de implementación de abril de 2021) a la versión 91.0.4472.106 (junio 2021).
En cuanto Heliconia Soft, Google ha detallado que su función es la de implementar un archivo PDF que contiene un ‘exploit’ de Windows Defender, el antivirus que utilizan las versiones más modernas de Windows de forma predeterminada.
Concretamente, aprovecha la vulnerabilidad CVE-2021-42298, un error en el motor de JavaScript de Microsoft Defender Malware Protection, para atacar al sistema. Asimismo, el PDF contiene algún contenido de señuelo, y basta con acceder a la URL de ataque para liberar el exploit.
Por su parte, el Files (que se traduce como ‘Archivos’) contiene un conjunto de vulnerabilidades de Firefox que afecta de manera directa a los sistemas operativos Windows y Linux. En concreto, puede atacar a estos SO desde la versión 64 a la 68 de Firefox. Esto indicaría, según la compañía, que el ‘exploit’ habría estado operando desde diciembre de 2018, cuando se lanzó por primera vez la primera de estas versiones.
Google ha puntualizado que «parece poco probable» que se haya llevado a cabo la explotación de estas vulnerabilidades utilizadas como ‘zero-day’. No obstante, la compañía ha indicado que TAG ha destinado detectores para el apartado de Navegación segura, con el objetivo de advertir a los usuarios cuando intentan navegar o descargar archivos peligrosos.
Asimismo, la compañía ha explicado que este ‘spyware’ contiene capacidades que anteriormente solo estaban al alcance de organismos con experiencia técnica y que mantiene su compromiso por tomar medidas contra la industrial del ‘sotware espía comercial, publicando investigaciones al respecto.