Google parchea una vulnerabilidad de Chrome que estaba siendo usada para vigilar a periodistas de varios países, según Avast

Una serie de ciberataques contra usuarios del antivirus Avast en Oriente Medio ha permitido que los expertos de la compañía descubriesen una ‘vulnerabilidad de día cero’ en el navegador Google Chrome (bautizada como CVE-2022-2294). El equipo de Avast Threat Intelligence informó de esta vulnerabilidad a Google, que la parcheó el 4 de julio de 2022.

Dado que Google se ha apresurado a parchear la vulnerabilidad, para salvaguardar nuestro equipo bastará con mantener actualizado nuestro navegador Chrome. La mayoría de los otros navegadores basados en Chromium han liberado ya, también, dicha actualización.

Pero además de la existencia de la vulnerabilidad, en Avast están seguros de haber identificado quién estaba explotando esta vulnerabilidad ahora desconocida.

Otro caso similar al famoso ‘Pegasus’

Según afirma la compañía, el equipo de Avast Threat Intelligence ha podido rastrear el origen de los ataques hasta un spyware desarrollado en Israel, descubriendo que, entre los objetivos de dichos ataques, se encontraban varios periodistas del Líbano, así como otros usuarios de Turquía, Yemen y Palestina.

Concretamente, los miembros de dicho equipo atribuyen, basándose en el malware y las tácticas utilizadas para llevar a cabo el ciberataque, al proveedor de software espía Candiru (con sede en Tel Aviv), conocido por vender software de espionaje a clientes gubernamentales… y al que Microsoft ya sorprendió vigilando a usuarios españoles el año pasado a través de su software Sourgum.

Este ataque permite, en primer lugar, obtener un perfil del navegador web de la víctima, basándose en la recopilación de medio centenar de factores: idioma de la víctima, la zona horaria, tipo de dispositivo, los plug-ins instalados en el navegador, la ubicación de referencia, la memoria del dispositivo, la funcionalidad de las cookies, etcétera.

Una vez que dicha información obra en manos de los atacantes, y si ésta indica que el objetivo es lo que los atacantes estaban buscando, se envía un exploit mediante canal cifrado para aprovechar la vulnerabilidad de día cero a través de un software conocido como DevilsTongue (‘lengua de diablo’).

Una vez que se ejecuta en el equipo de la víctima, DevilsTongue, un avanzado software espía, que intenta escalar sus privilegios para obtener acceso completo al dispositivo de la víctima, grabando a través de la cámara web y el micrófono, registrando las pulsaciones de su teclado, filtrando sus mensajes, accediendo al historial de navegación, las contraseñas o la geolocalización, etc.

Jan Vojtěšek, investigador de malware de Avast, ha declarado que

«En el Líbano, los atacantes parecen haber comprometido el sitio web utilizado por los empleados de una agencia de noticias. No podemos decir con seguridad lo que los atacantes podrían estar buscando, sin embargo, a menudo la razón por la que los atacantes van tras los periodistas es para espiarlos y conocer las historias en las que están trabajando de forma directa, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartieron con la prensa».