Extensión maliciosa de Firefox permitió a hackers secuestrar cuentas de Gmail

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias organizaciones tibetanas fueron blanco de una campaña de ciberespionaje por parte de un grupo de piratas informáticos respaldado por el estado chino, que usaba una extensión maliciosa de Firefox, diseñada para secuestrar cuentas de Gmail e infectar a las víctimas con malware.

Los ataques coordinados por el grupo APT TA413 vinculado a China comenzaron en enero y continuaron durante todo febrero, según un informe de Proofpoint publicado el jueves.

Los piratas informáticos del estado chino también infectaron a las víctimas con el marco de reconocimiento de malware Scanbox, que les permitió recopilar los datos de sus objetivos y registrar sus pulsaciones de teclas.

"Scanbox se ha utilizado en numerosas campañas desde 2014 para atacar a la diáspora tibetana junto con otras minorías étnicas a menudo atacadas por grupos alineados con los intereses del estado chino", dijo Proofpoint.

"La herramienta es capaz de rastrear a los visitantes de sitios web específicos, realizar un registro de teclas y recopilar datos de los usuarios que se pueden aprovechar en futuros intentos de intrusión".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La extensión maliciosa del navegador FriarFox

Los correos electrónicos de suplantación de identidad entregados por los atacantes TA413 a los buzones de correo de sus objetivos, los redirigían al dominio you-tube [.] Tv controlado por el atacante que muestra una página de inicio falsa de Adobe Flash Player Update.

Los scripts de creación de perfiles de JavaScript ejecutados desde este dominio solicitarían automáticamente a los objetivos que instalen un complemento malicioso llamado FriarFox si estaban usando el navegador web Firefox y se habían regisrado en su cuenta de Gmail.

Si la víctima potencial usaba cualquier otro navegador web, sería redirigida a la página de inicio de sesión legítima de YouTube. Si usaban Firefox pero no estaban conectados a una cuenta de Gmail, se les pedía que agregaran un complemento de FriarFox corrupto al navegador, que no se instalaría (no estaban logueados en Gmail).

La extensión maliciosa FriarFox se basa en el complemento de Firefox Notificador de Gmail de código abierto (sin reinicio), al cambiar su icono, y la descripción de metadatos para imitar un proceso de actualización de Flash.

También agregaron JavaScripts maliciosos diseñados para secuestrar las cuentas de Gmail de las víctimas e infectar sus sistemas con el malware Scanbox.

Una vez que se engaña a las víctimas para que instalen la extensión FriarFox, los operadores de TA413 se hacen cargo de la cuenta de Gmail de los usuarios y del navegador Firefox para realizar las siguientes acciones maliciosas:

Cuenta de Gmail secuestrada:

     Buscar correos electrónicos
     Archivar correos electrónicos
     Recibe notificaciones de Gmail
     Leer correos electrónicos
     Modifique las funciones de alerta visual y de audio del navegador Firefox para la extensión FriarFox
     Etiquetar correos electrónicos
     Marca los correos electrónicos como spam
     Eliminar mensajes
     Actualizar la bandeja de entrada
     Reenviar correos electrónicos
     Realizar búsquedas de funciones
     Eliminar mensajes de la papelera de Gmail
     Enviar correo desde la cuenta comprometida

Firefox (basado en los permisos del navegador):

     Acceda a los datos de usuario de todos los sitios web.
     Mostrar notificaciones
     Leer y modificar la configuración de privacidad
     Accede a las pestañas del navegador.

"El uso de extensiones de navegador para apuntar a las cuentas privadas de Gmail de los usuarios, combinado con la entrega de malware Scanbox, demuestra la maleabilidad de TA413 cuando apunta a comunidades disidentes", concluyó Proofpoint.

"Estas comunidades tienen una barrera tradicionalmente baja para el compromiso de los grupos de actores de amenazas y TA413 parece estar modulando sus herramientas y técnicas mientras continúa confiando en técnicas de ingeniería social probadas".

Al final del informe de Proofpoint, se encuentran disponibles más detalles técnicos e indicadores de compromiso (IOC), incluida la infraestructura y los hash de muestra de malware utilizados en esta campaña.

Más Info y detalles:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta