El grupo de Análisis de Amenazas (TAG, según sus siglas en inglés) de la empresa Google alertó sobre un "spyware" (un tipo de virus digital) asociado a la Variston IT, una empresa de servicios de ciberseguridad, que tendría un marco de explotación que afecta a navegadores de internet como Google Chrome y Mozilla Firefox.
Se especula con que el misterioso virus vendría de la mano de la Variston ya que, se supo, cuenta con la tecnología adecuada para hacerlo funcionar.
El equipo TAG reportó este problema cuando Google recibió una serie de informes anónimos donde se notificaron errores en Chrome. El remitente utilizó tres nombres, que definían tres marcos de explotación diferentes: Heliconia Noise, Heliconia Soft y, por último, el Files.
Heliconia Noise es un software que ataca al renderizador de Chrome. Este es el que ejecuta el ‘malware’ dentro del sistema operativo y es compatible con las versiones de Chrome desde la 90.0.4430.72 (de abril de 2021) y la versión 91.0.4472.106 (de junio 2021).
Por otra parte, se supo que el Heliconia Soft tiene como función implementar un archivo PDF que contiene un ‘exploit’ de Windows Defender, el antivirus que utilizan las versiones más modernas de Windows de forma predeterminada.
Concretamente, aprovecha la vulnerabilidad CVE-2021-42298, el cual es un error en el motor de JavaScript de Microsoft Defender Malware Protection, uno de los antivirus predeterminados que viene incorporado al sistema Microsoft. El PDF lo que contiene es algún tipo de "señuelo", que se libera accediendo a la URL de ataque, liberando así al exploit que lo inhabilita.
Por su parte, el Files posee un conjunto de vulnerabilidades de Firefox que ataca de manera directa a los sistemas operativos Windows y Linux. Los ataca desde la versión 64 hasta la versión 68 de Firefox. Esto significa que, según la compañía, el ‘exploit’ usado estaría operando, posiblemente, desde diciembre de 2018, cuando se lanzó la primera de estas versiones.
Google puntualizó que parecería "poco probable" que se haya hecho la explotación de estas vulnerabilidades utilizadas como ‘zero-day’. No obstante, la compañía ha indicado que TAG destinó detectores para el apartado de Navegación segura, con el objetivo de advertir a los usuarios cuando intentan navegar o descargar archivos peligrosos.
Asimismo, la compañía explicó que, este ‘spyware’, posee capacidades que antes solo estaban al alcance de organismos con experiencia técnica. Y que mantienen "su compromiso por tomar medidas contra la industrial del ‘software espía comercial" publicando investigaciones al respecto.
Fuente: Ámbito