Avast detecta vulnerabilidad de software espía en Google Chrome
La compañía detectó una vulnerabilidad de día cero en Google Chrome cuando fue explotada en la naturaleza en un intento de atacar a los usuarios de Avast en Oriente Medio de una manera altamente dirigida a través de un software espía con orígenes en Israel.
En concreto, el equipo de Avast Threat Intelligence descubrió que, en el Líbano, los periodistas estaban entre los objetivos, y otros objetivos se encontraban en Turquía, Yemen y Palestina. El equipo de Avast Threat Intelligence informó de esta vulnerabilidad a Google, que la parcheó el 4 de julio de 2022.
Basándose en el malware y las tácticas utilizadas para llevar a cabo el ataque, los investigadores de Avast lo atribuyeron al proveedor de software espía Candiru, con sede en Tel Aviv y conocido por vender software de espionaje a clientes gubernamentales. A través de este ataque, se recopila un perfil del navegador de la víctima, que consta de unos 50 puntos de datos, y se envía a los atacantes. La información recopilada incluye el idioma de la víctima, la zona horaria, la información de la pantalla, el tipo de dispositivo, los plugins del navegador, la referencia, la memoria del dispositivo, la funcionalidad de las cookies, y más, probablemente para proteger aún más el exploit y asegurarse de que sólo se entrega a las víctimas objetivo. Si los datos recogidos resultan ser lo que los atacantes buscaban, el exploit de día cero se entrega a la máquina de la víctima a través de un canal cifrado. Después de que los atacantes entren en la máquina, se entrega una carga útil maliciosa conocida como DevilsTongue que intenta escalar los privilegios del malware para obtener acceso completo a la máquina de la víctima. DevilsTongue es un software espía avanzado, capaz de grabar la cámara web y el micrófono de la víctima, registrar el teclado, filtrar la mensajería de la víctima, el historial de navegación, las contraseñas, la geolocalización y mucho más.
Jan Vojtěšek, investigador de malware de Avast, aseguró: “En el Líbano, los atacantes parecen haber comprometido un sitio web utilizado por los empleados de una agencia de noticias. No podemos decir con certeza lo que los atacantes podrían haber estado buscando, sin embargo, a menudo la razón por la que los atacantes van tras los periodistas es para espiarlos y las historias en las que están trabajando directamente, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartieron con la prensa. Un ataque como este podría suponer una amenaza para la libertad de prensa”.
Dado que Google se apresuró a parchear la vulnerabilidad el 4 de julio, los usuarios de Chrome sólo tienen que hacer clic en el botón cuando el navegador les pida “reiniciar para terminar de aplicar la actualización”. El mismo procedimiento deben seguir los usuarios de la mayoría de los demás navegadores basados en Chromium, incluido Avast Secure Browser. Los usuarios de Safari deben actualizar a la versión 15.6. Avast insta a todos los desarrolladores que utilicen WebRTC a aplicar el parche lo antes posible.