Google acusa a la empresa española Variston IT de aprovecharse de las vulnerabilidades de Día 0

Google acusa directamente a Variston It por la distribución de spyware.

Google acusa a Variston IT
Google acusa a Variston IT

El proveedor de spyware ha sido señalado como un explotador del navegador Chrome, como también de Firefox y Windows Zero-Days. El motivo de la acusación se debe a la sospecha de la acción de un software espía.

Variston IT proveedor de un software de vigilancia, ha sido señalado como el autor de funciones espías que atacaban ciertas fallas de Chrome, Windows y Firefox. Las fallas explotadas han tenido lugar durante el mes de diciembre de 2018.

Google acusa a Variston IT
Google acusa a Variston IT

A través de una carga exacta del proveedor ocurre la ventaja sobre las vulnerabilidades de los navegadores. Las herramientas implementadas para obtener datos están siendo investigadas y señaladas por el Grupo de Análisis de Amenazas (TAG) que pertenece a Google.

Las amenazas de Variston a través de Spyware

Desde el portal web de Variston se publican diferentes alternativas para la seguridad de los datos y la información de cada cliente. El diseño de medidas de seguridad personalizados para toda clase de sistemas, es parte de la promesa de este proveedor.

Entre los servicios principales que forman parte de la web, también sobresale la revelación de información digital, al hacer uso de las fuerzas del orden. Las capacidades de Variston fueron destinadas a las vulnerabilidades que luego fueron resueltas por Google, Mozilla y Microsoft durante el año 2021 y 2022.

Las fallas fueron el puerto de entrada a este malware, porque actuaba como una ayuda o un aliado. El encubrimiento de sus funciones permitía que establecieran ciertos sistemas objetivos para violar su seguridad.

La implementación de Exploits en contra de los errores de Windows, Chrome y Firefox, se debe a Heliconia que usaba componentes como Noise, Soft y Files. El diseño de Noise se concentra en utilizar el fallo de seguridad a favor, desde el motor de JavaScript que posee Chrome V8.

Los golpes de seguridad contra Google, Microsoft y Mozilla

El motor de JavaScript se mantuvo generando estas amenazas de seguridad, hasta que en agosto de 2021 salió el parche. El método de escape perteneciente a Sandbox, denominado como “Chrome-sbx-gen” fue el encargado de incluir una carga extra para el ataque.

El agente “Chrome-sbx-gen” tenía el objetivo de ser instalado sobre los dispositivos, para empezar a sustraer toda la información. El ataque ocurre al tener como requisito inicial un acceso a  un sitio web, en el que se encuentra una trampa que inicia toda la explotación de la seguridad.

La configuración o el ajuste de Heliconia Noise es realizada por el comprador, gracias a las funciones de un archivo JSON, que admite diversos parámetros. Los ajustes de Heliconia incluyen la cantidad de acciones a realizar por los exploits, fecha de vencimiento de servidores, URL para visitantes que no sean objetivos y reglas para evaluar a los visitantes.

En el caso de Microsoft, representa la carnada porque genera el archivo PDF que contiene el exploit de CVE-2021-42298. La falla descrita permite la ejecución remota de un código que vulnera la respuesta de Microsoft Defender, lo cual luego fue corregido.

La infección causada por Variston y sus consecuencias

Desde noviembre de 2021 este tipo de fallas mencionadas han sido atacadas de forma ardua. La intervención de una serie de infecciones tenía éxito a través de la visita a una URL maliciosa, en la que se encuentra el archivo PDF preparado para el ataque.

Una tercera fase del engaño es el paquete Files, en el que se encuentra la cadena para explotar a Windows y Linux a través de Firefox. El uso del paquete es el punto en el que se detona la falla, después de entrar en acción el navegador era liberado, y surgió CVE-2022-26485.

El error fue corregido en marzo de 2022, pero este ha sido un error con larga trayectoria, del cual han sacado provecho de forma significativa. La evaluación de Google TAG ayudó a que se evidenciara este fallo, para detener el progreso malicioso de Heliconia por el informe de errores detectado en Chrome.