Software

Una empresa de Barcelona vendía software con malware oculto para atacar los PC de sus clientes

Compartir

Volvemos con exploits de vulnerabilidades de seguridad de Google Chrome, Firefox y Windows Defender, por lo que la mayoría de usuarios podrían haber sido afectados por ellos. De hecho, llegaron a ser un exploit de vulnerabilidades día 0, las cuales se parchean rápidamente, pero no todas las personas actualizan al instante. La particularidad radica en que los culpables de estos exploits ha sido una empresa de informática española.

Raramente vemos casos donde varios programas importantes han experimentado una brecha de seguridad y se ha explotado esta para instalar malware. Sin embargo, ha ocurrido y tanto Google Chrome como Windows Defender o Firefox tenían riesgo de incluir spyware. Todo esto fue debido a exploits de vulnerabilidades de seguridad de dicho software y ahora sabemos quién ha sido el culpable.

Variston IT en Barcelona ha sido la culpable de los exploits

Los investigadores de Google Clement Lecigne y Benoit Sevens han descubierto que había una empresa de informática española detrás de los exploits de Chrome, Defender y Firefox. Esta empresa se llama Variston IT y se presenta como un proveedor de soluciones de seguridad ubicado en Barcelona y ofrece una gran diversidad de servicios. Por ejemplo, aporta tecnología para integradores de SCADA (control y supervisión de datos) o para IoT. También ofrece parches de seguridad personalizados para sistemas propietarios, herramientas para reconocimiento de datos, formación en seguridad o desarrollo de protocolos seguros en dispositivos integrados.

Todo esto es fachada, pues según el Grupo de Análisis de Amenazas de Google, Variston vende otro producto que no aparece en su página web. Este sería un framework de software que proporciona todo lo que el cliente necesita para instalar discretamente malware en los dispositivos que quiere espiar. Según los investigadores de Google, este framework o marco de trabajo se utilizó durante las vulnerabilidades día cero

de los populares Chrome, Firefox y Defender. Esto significa que muchas personas podrían haber sido afectadas por software espía si no actualizaron con el respectivo parche en su día.

"El software de espionaje comercial pone capacidades de vigilancia avanzadas en manos de los gobiernos, que las utilizan para espiar a periodistas, activistas de derechos humanos, oposición política y disidentes", dijeron los investigadores de Google.

Los exploits afectaron a Google Chrome, Firefox y Windows Defender

Los investigadores de Google pudieron analizar los frameworks de software empleados gracias a una fuente anónima que los envió a través del programa de notificación de errores de Google Chrome. Estos llegaron con instrucciones y un archivo que contenía el código fuente. De los frameworks sabemos que tenían los nombres clave Heliconia Noise, Heliconia Soft y Files, los cuales implementaban exploits en Chrome, Defender y Firefox, respectivamente.

Adicionalmente, en el framework Heliconia Noise se incluía un código para eliminar los archivos binarios antes de que fueran producidos y así poder encubrir a los desarrolladores. Sin embargo, en la lista de "bad strings" se podía leer el nombre de Variston, junto a sus nombres propios de Dragon Ball como "Freezer", "Majinbuu" y "Janemba". Sobre los exploits de Google, Microsoft y Firefox, estos fueron parcheados en 2021 y 2022, aunque como dijimos podrían haber afectado a personas que no actualizaron en su momento.

Con Heliconia Noise se ofrecían varias opciones de configuración a gusto de los clientes. Por ejemplo, podían configurar el número máximo de veces que funcionaban los exploits, la fecha de caducidad o reglas que calificaban a los visitantes como víctimas válidas. Mientras tanto, Heliconia Soft incluía un PDF que explotaba el CVE-2021-42298, un fallo del motor JavaScript de Windows Defender que fue corregido en noviembre de 2021. Por último, con Files, se realizaba el exploit de la CVE-2022-26485 de Firefox, la cual se parcheó en marzo de 2022. No obstante, los investigadores creen que el exploit estaba activo desde 2019, años antes de que se parcheara.

Borja Colomer

Los comentarios de Disqus están cargando....
Publicado por
Borja Colomer

Entradas recientes

Descarga gratis Islets desde la Epic Games Store: un metroidvania con muy buenas críticas

Ya es jueves, y eso significa una nueva ración de juegos gratis en la Epic… Leer más

36 mins hace

ASUS NUC 14 Pro: los nuevos Mini-PC de la marca para uso profesional y capacidades de IA

ASUS anunció su primera generación de Mini-PC para uso profesional desde que compró el negocio… Leer más

1 hora hace

MSI SPATIUM M580 FROZR: SSD PCIe 5.0 con un enorme sistema de refrigeración

MSI anunció el lanzamiento de su SSD tope de gama con su mejor sistema de… Leer más

2 horas hace

Twitch acaba con el «truco» para mostrar desnudos sin saltarse las normas: prohibirá enseñar partes íntimas usando un croma

Al igual que YouTube es la plataforma donde tenemos la mayor cantidad de vídeos en… Leer más

3 horas hace

ASUS RT-BE88U: el router con IA, Wi-Fi 7 hasta 7.200 Mbps, Ethernet a 10 Gbps y SFP+

Muchos jugadores con PC de sobremesa prefieren utilizar Internet por cable usando Ethernet, pues de… Leer más

4 horas hace

Así es como luce la nueva Xbox Series X con un diseño completamente digital

Ya podemos ver cómo luce el diseño de la futura Xbox Series X Digital, y… Leer más

5 horas hace

Esta web usa cookies.