Las vulnerabilidades y los exploits que las aprovechan en navegadores como Google Chrome y similares son algo tremendamente común. Tanto que existen usuarios e incluso empresas que venden herramientas de software para explotar dichas vulnerabilidades. Es lo que afirma Google, acusando a una empresa nada menos que ubicada en España.
Según aseguran los investigadores del Threat Analysis Group o Grupo de Análisis de Amenazas de Google, una empresa de Barcelona habría estado vendiendo herramientas como framworks de software para poder instalar software espía malicioso en navegadores como Chrome o Firefox, con Windows también como objetivo, aprovechando los exploits ubicados en ellos.
La empresa en cuestión es Variston IT y como su nombre indica, es una compañía IT dedicada, según su página web, a ofrecer servicios dedicados a la ciberseguridad y al Internet of Things. Google acusa a Variston de ser la culpable de promover los exploits para aprovechar vulnerabilidades de estos navegadores, según recoge Tech Crunch.
Una empresa española
Esta firma se vende como una compañía que ofrece "soluciones de seguridad de la información", asegurando que tienen equipos formados "por algunos de los expertos más experimentados de la industria". Entre su catálogo se ofertan entrenamientos en seguridad profesional o desarrollo de protocolos de seguridad para dispositivos embebidos, dispuestos a crear e implementar protocolos "altamente seguros hechos a medida" para los sistemas de sus clientes.
Según afirman los investigadores, Clement Lecigne y Benoit Stevens, en su investigación sobre proveedores de spyware, se toparon con Variston IT. Explican que vendían hasta 3 frameworks distintos llamados Heliconia Noise, Heliconia Soft y Files. Estos instalaban exploits en Chrome, Firefox y Windows Defender para instalar el spyware.
Heliconia Soft implementaba en Windows Defender un PDF que explotaba una vulnerabilidad basada en un fallo del motor JavaScript del software de actualización. Con Heliconia Noise, por su parte, se podían realizar diversos métodos para que los clientes pudieran gestionar los exploits a placer. Files estaba orientado a Windows y al navegador Firefox, respectivamente.
Todos estos framework incluían, según Google, "un código fuente maduro capaz de implementar exploits para Chrome, Windows Defender y Firefox". Vulnerabilidades que ya habían sido parcheadas en algunos casos.
[Un fallo en el navegador de Apple filtra datos personales entre diferentes webs]
El hecho de que Google no cierre la posibilidad de que se hayan usado estos exploits con vulnerabilidades zero-day implica que podrían haber muchos usuarios afectados, ya que estos fallos no se actualizaron en su momento. Este spyware "pone capacidades de vigilancia avanzadas en manos de los gobiernos, que los utilizan para espiar a periodistas activistas de derechos humanos, oposición política y disidentes".
El equipo explica que la fuente anónima le comunicó el problema gracias "a un envío anónimo al programa de informes de errores de Chrome", momento en el que descubrieron los framework Heliconia. "El remitente presentó tres errores, cada uno con instrucciones y un archivo que contenía el código fuente". Los responsables del equipo de Google solo tuvieron que analizar los archivos. Se desconoce la identidad de la persona que reportó estos archivos.