(https://i.postimg.cc/BnYryRJr/Malicious-Firefox-extension.png) (https://postimages.org/)
Varias organizaciones tibetanas fueron blanco de una campaña de ciberespionaje por parte de un grupo de piratas informáticos respaldado por el estado chino, que usaba una extensión maliciosa de Firefox, diseñada para secuestrar cuentas de Gmail e infectar a las víctimas con malware.
Los ataques coordinados por el grupo APT TA413 vinculado a China comenzaron en enero y continuaron durante todo febrero, según un informe de Proofpoint publicado el jueves.
Los piratas informáticos del estado chino también infectaron a las víctimas con el marco de reconocimiento de malware Scanbox, que les permitió recopilar los datos de sus objetivos y registrar sus pulsaciones de teclas.
"Scanbox se ha utilizado en numerosas campañas desde 2014 para atacar a la diáspora tibetana junto con otras minorías étnicas a menudo atacadas por grupos alineados con los intereses del estado chino", dijo Proofpoint.
"La herramienta es capaz de rastrear a los visitantes de sitios web específicos, realizar un registro de teclas y recopilar datos de los usuarios que se pueden aprovechar en futuros intentos de intrusión".
(https://i.postimg.cc/JhsfWKnG/Malicious-Firefox-extension-2.png) (https://postimages.org/)
La extensión maliciosa del navegador FriarFox
Los correos electrónicos de suplantación de identidad entregados por los atacantes TA413 a los buzones de correo de sus objetivos, los redirigían al dominio you-tube [.] Tv controlado por el atacante que muestra una página de inicio falsa de Adobe Flash Player Update.
Los scripts de creación de perfiles de JavaScript ejecutados desde este dominio solicitarían automáticamente a los objetivos que instalen un complemento malicioso llamado FriarFox si estaban usando el navegador web Firefox y se habían regisrado en su cuenta de Gmail.
Si la víctima potencial usaba cualquier otro navegador web, sería redirigida a la página de inicio de sesión legítima de YouTube. Si usaban Firefox pero no estaban conectados a una cuenta de Gmail, se les pedía que agregaran un complemento de FriarFox corrupto al navegador, que no se instalaría (no estaban logueados en Gmail).
La extensión maliciosa FriarFox se basa en el complemento de Firefox Notificador de Gmail de código abierto (sin reinicio), al cambiar su icono, y la descripción de metadatos para imitar un proceso de actualización de Flash.
También agregaron JavaScripts maliciosos diseñados para secuestrar las cuentas de Gmail de las víctimas e infectar sus sistemas con el malware Scanbox.
Una vez que se engaña a las víctimas para que instalen la extensión FriarFox, los operadores de TA413 se hacen cargo de la cuenta de Gmail de los usuarios y del navegador Firefox para realizar las siguientes acciones maliciosas:
Cuenta de Gmail secuestrada:
Buscar correos electrónicos
Archivar correos electrónicos
Recibe notificaciones de Gmail
Leer correos electrónicos
Modifique las funciones de alerta visual y de audio del navegador Firefox para la extensión FriarFox
Etiquetar correos electrónicos
Marca los correos electrónicos como spam
Eliminar mensajes
Actualizar la bandeja de entrada
Reenviar correos electrónicos
Realizar búsquedas de funciones
Eliminar mensajes de la papelera de Gmail
Enviar correo desde la cuenta comprometida
Firefox (basado en los permisos del navegador):
Acceda a los datos de usuario de todos los sitios web.
Mostrar notificaciones
Leer y modificar la configuración de privacidad
Accede a las pestañas del navegador.
"El uso de extensiones de navegador para apuntar a las cuentas privadas de Gmail de los usuarios, combinado con la entrega de malware Scanbox, demuestra la maleabilidad de TA413 cuando apunta a comunidades disidentes", concluyó Proofpoint.
"Estas comunidades tienen una barrera tradicionalmente baja para el compromiso de los grupos de actores de amenazas y TA413 parece estar modulando sus herramientas y técnicas mientras continúa confiando en técnicas de ingeniería social probadas".
Al final del informe de Proofpoint, se encuentran disponibles más detalles técnicos e indicadores de compromiso (IOC), incluida la infraestructura y los hash de muestra de malware utilizados en esta campaña.
Más Info y detalles:
https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/malicious-firefox-extension-allowed-hackers-to-hijack-gmail-accounts/