Volvemos con exploits de vulnerabilidades de seguridad de Google Chrome, Firefox y Windows Defender, por lo que la mayorÃa de usuarios podrÃan haber sido afectados por ellos. De hecho, llegaron a ser un exploit de vulnerabilidades dÃa 0, las cuales se parchean rápidamente, pero no todas las personas actualizan al instante. La particularidad radica en que los culpables de estos exploits ha sido una empresa de informática española.
Raramente vemos casos donde varios programas importantes han experimentado una brecha de seguridad y se ha explotado esta para instalar malware. Sin embargo, ha ocurrido y tanto Google Chrome como Windows Defender o Firefox tenÃan riesgo de incluir spyware. Todo esto fue debido a exploits de vulnerabilidades de seguridad de dicho software y ahora sabemos quién ha sido el culpable.
Variston IT en Barcelona ha sido la culpable de los exploits
Los investigadores de Google Clement Lecigne y Benoit Sevens han descubierto que habÃa una empresa de informática española detrás de los exploits de Chrome, Defender y Firefox. Esta empresa se llama Variston IT y se presenta como un proveedor de soluciones de seguridad ubicado en Barcelona y ofrece una gran diversidad de servicios. Por ejemplo, aporta tecnologÃa para integradores de SCADA (control y supervisión de datos) o para IoT. También ofrece parches de seguridad personalizados para sistemas propietarios, herramientas para reconocimiento de datos, formación en seguridad o desarrollo de protocolos seguros en dispositivos integrados.
Todo esto es fachada, pues según el Grupo de Análisis de Amenazas de Google, Variston vende otro producto que no aparece en su página web. Este serÃa un framework de software que proporciona todo lo que el cliente necesita para instalar discretamente malware en los dispositivos que quiere espiar. Según los investigadores de Google, este framework o marco de trabajo se utilizó durante las vulnerabilidades dÃa cero de los populares Chrome, Firefox y Defender. Esto significa que muchas personas podrÃan haber sido afectadas por software espÃa si no actualizaron con el respectivo parche en su dÃa.
"El software de espionaje comercial pone capacidades de vigilancia avanzadas en manos de los gobiernos, que las utilizan para espiar a periodistas, activistas de derechos humanos, oposición polÃtica y disidentes", dijeron los investigadores de Google.
Los exploits afectaron a Google Chrome, Firefox y Windows Defender
Los investigadores de Google pudieron analizar los frameworks de software empleados gracias a una fuente anónima que los envió a través del programa de notificación de errores de Google Chrome. Estos llegaron con instrucciones y un archivo que contenÃa el código fuente. De los frameworks sabemos que tenÃan los nombres clave Heliconia Noise, Heliconia Soft y Files, los cuales implementaban exploits en Chrome, Defender y Firefox, respectivamente.
Adicionalmente, en el framework Heliconia Noise se incluÃa un código para eliminar los archivos binarios antes de que fueran producidos y asà poder encubrir a los desarrolladores. Sin embargo, en la lista de "bad strings" se podÃa leer el nombre de Variston, junto a sus nombres propios de Dragon Ball como "Freezer", "Majinbuu" y "Janemba". Sobre los exploits de Google, Microsoft y Firefox, estos fueron parcheados en 2021 y 2022, aunque como dijimos podrÃan haber afectado a personas que no actualizaron en su momento.
Con Heliconia Noise se ofrecÃan varias opciones de configuración a gusto de los clientes. Por ejemplo, podÃan configurar el número máximo de veces que funcionaban los exploits, la fecha de caducidad o reglas que calificaban a los visitantes como vÃctimas válidas. Mientras tanto, Heliconia Soft incluÃa un PDF que explotaba el CVE-2021-42298, un fallo del motor JavaScript de Windows Defender que fue corregido en noviembre de 2021. Por último, con Files, se realizaba el exploit de la CVE-2022-26485 de Firefox, la cual se parcheó en marzo de 2022. No obstante, los investigadores creen que el exploit estaba activo desde 2019, años antes de que se parcheara.
Fuente:  Borja Colomer - El chapuzas informático