El 1 de julio se descubrió una vulnerabilidad de día cero en el navegador web Chrome de Google que se utilizó para atacar a periodistas en Oriente Medio, según la empresa de ciberseguridad Avast. La mayoría de los ataques tuvieron lugar en el Líbano.
“Basándonos en el malware y los TTPs utilizados para llevar a cabo el ataque, podemos atribuirlo con confianza a un proveedor de spyware secreto de muchos nombres, más comúnmente conocido como Candiru”, escribió Avast.
También conocida como SAITO Tech, Candiru es una empresa tecnológica israelí que se dedica al ciberespionaje, a menudo para clientes gubernamentales. La empresa ha sido incluida en la lista negra del gobierno estadounidense por su comportamiento supuestamente perjudicial para la seguridad nacional.
Ciberataques dirigidos a periodistas de Oriente Medio
Los ciberataques en Líbano comprometieron un sitio web que frecuentaban los periodistas, según Avast. Aunque los motivos de Candiru no estaban claros, “la razón por la que los atacantes persiguen a los periodistas es para espiarlos a ellos y a las historias en las que están trabajando directamente, o para llegar a sus fuentes y reunir información comprometedora y datos sensibles que compartían con la prensa”, explicó la empresa de ciberseguridad.
Además del Líbano, los ataques se produjeron en Turquía, Yemen y los territorios palestinos. Avast afirmó que Candiru regresó con un conjunto actualizado de herramientas en marzo, después de un período de actividad mínima que se remonta a julio de 2021, cuando su actividad fue expuesta por Microsoft y CitizenLab.
Utilizando la vulnerabilidad de día cero que no podía ser detectada por el navegador, los atacantes comprometieron sitios web y crearon sitios específicamente para sus propósitos, describió Android Police. Los usuarios eran víctimas de la estratagema simplemente abriendo uno de estos sitios.
Datos importantes obtenidos por los ciberataques
A los afectados se les secuestraron datos sensibles del navegador, incluyendo hasta 50 datos como el idioma, las cookies, el tipo de dispositivo y la zona horaria, según Android Police. Además, el navegador web Safari de Apple también fue vulnerable a los ataques, aunque Avast vio que sólo se vieron afectados los dispositivos Windows.
El hecho de que se detectaran los ataques de Candiru pone de relieve el valor de las empresas de ciberseguridad que vigilan el software espía mercenario, dijo Bill Marczak, miembro de la investigación de CitizenLab sobre la empresa. “Al menos cinco empresas de seguridad, incluida Avast, han detectado, quemado y publicado sobre los ataques de Candiru dirigidos contra sus clientes que utilizan Microsoft Windows. Candiru también parece mantener capacidades contra los teléfonos móviles, pero ninguno de ellos ha sido detectado, por lo que sabemos”.
Google puso remedio a la situación con una actualización de Chrome el 4 de julio, pero quienes no hayan actualizado su navegador siguen estando en peligro.