Google parchó una “vulnerabilidad de día cero” de su navegador Chrome, la cual fue usada por un grupo de ciberdelincuentes dedicados a espiar la actividad de diversos periodistas alrededor del mundo. Este fallo bautizado como CVE-2022-2294 fue descubierto luego de una serie de ataques cibernéticos contra usuarios de Avast en Oriente Medio y Google lo solucionó el 4 de julio de 2022.
Avast Threat Intelligence, equipo parte de la firma de ciberseguridad dueña del antivirus que lleva el mismo nombre, reportó esta vulnerabilidad a los de Mountain View tras haberla descubierto.
Ya que la compañía fue rápida en parchar este fallo para evitar que más usuarios sean perjudicados por ella, tan solo basta con descargar la actualización más reciente de Google Chrome para estar protegidos contra el exploit. Además, otros navegadores web basados en Chromium ya han liberado sus actualizaciones, por lo que sus usuarios también estarán seguros tras descargarlas.
¿Quiénes fueron los que usaron este fallo de Google Chrome?
Si bien el principal interés del reporte de Avast fue notificar a Google sobre el fallo para que sea solucionado lo antes posible, la firma también afirma haber logrado identificar al grupo de ciberdelincuentes que explotaron esta vulnerabilidad hasta ahora desconocida. El equipo de investigadores rastrearon el origen de los ataques suscitados en Medio Oriente hasta un spyware creado en Israel, con lo que además lograron descifrar que los afectados fueron periodistas del Líbano así como otros usuarios de Turquía, Yemen y Palestina.
En concreto, Avast atribuye los ataques y el desarrollo de este virus informático a Candiru, proveedor de software espía que tiene como clientes a algunos gobiernos de este territorio. En julio de 2022, Microsoft también determinó que este grupo estaba espiando a usuarios españoles mediante su software Sourgum.
¿Cómo se llevaron a cabo los ciberataques a través de Google Chrome?
Avast menciona que este tipo de ataque permite obtener un perfil del Chrome de su víctima usando la recopilación de 50 factores como idioma, zona horaria, tipo de dispositivo, plug-ins instalados, ubicación de referencia, memoria del dispositivo, funcionalidad de las cookies y muchos otros más.
Con esta información en su poder, los cibercriminales determinaban si efectivamente su víctima tenía lo que estaban buscando y tras confirmarlo, procedían con un exploit mediante canal cifrado para usar el fallo de día cero del navegador mediante un software conocido como DevilsTongue (lengua del diablo).
Tras haberse ejecutado en la computadora de la víctima, este software espía de gran capacidad comienza a escalar sus privilegios para hacerse con el acceso completo al equipo, pudiendo tomar acciones como grabar al usuario mediante su cámara web y micrófono, registrar las pulsaciones de su teclado, filtrar sus mensajes y acceder a su historial de navegación, geolocalización y hasta contraseñas.
“En el Líbano, los atacantes parecen haber comprometido el sitio web utilizado por los empleados de una agencia de noticias. No podemos decir con seguridad lo que los atacantes podrían estar buscando, sin embargo, a menudo la razón por la que los atacantes van tras los periodistas es para espiarlos y conocer las historias en las que están trabajando de forma directa, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartieron con la prensa”, dijo Jan Vojtěšek, investigador de malware de Avast.
Dale like al fanpage de PROGAMER en Facebook para mantenerte actualizado con las últimas noticias de videojuegos, anime, comics y cultura geek. Además también puedes escuchar nuestro PROGAMER Podcast en RPP Podcast, iTunes y Spotify.Para escucharlo mejor, #QuedateEnCasa.