Hackers chinos utilizan la extensión de Firefox para espiar a las organizaciones tibetanas

Los investigadores de ciberseguridad revelaron hoy una nueva campaña destinada a espiar a las comunidades tibetanas vulnerables en todo el mundo mediante la implementación de una extensión maliciosa de Firefox en los sistemas de destino.

«Los actores de amenazas alineados con los intereses estatales del Partido Comunista Chino entregaron una extensión de navegador Mozilla Firefox maliciosa personalizada que facilitó el acceso y el control de las cuentas de Gmail de los usuarios», dijo Proofpoint en un análisis.

La empresa de seguridad empresarial con sede en Sunnyvale atribuyó la operación de phishing a una amenaza persistente avanzada (APT) china que rastrea como TA413, que anteriormente se atribuyó a ataques contra la diáspora tibetana al aprovechar señuelos temáticos de COVID para entregar el malware Sepulcher con la estrategia objetivo de espionaje y vigilancia de disidentes civiles.

Los investigadores dijeron que los ataques se detectaron en enero y febrero de 2021, un patrón que continúa desde marzo de 2020.

La cadena de infección comienza con un correo electrónico de phishing que se hace pasar por la «Asociación de Mujeres Tibetanas» utilizando una cuenta de Gmail vinculada a TA413 que se hace pasar por la Oficina de Su Santidad el Dalai Lama en India.

Los correos electrónicos contienen una URL maliciosa, supuestamente un enlace a YouTube, cuando en realidad lleva a los usuarios a una página de inicio falsa de «Actualización de Adobe Flash Player» donde se les pide que instalen una extensión de Firefox que Proofpoint llama «FriarFox».

Por su parte, la extensión maliciosa, llamada «Flash update components», se disfraza como una herramienta relacionada con Adobe Flash, pero los investigadores dijeron que se basa en gran medida en una herramienta de código abierto llamada «Notificador de Gmail (sin reinicio)» con alteraciones significativas que agregue capacidades maliciosas, incluida la incorporación de versiones modificadas de archivos tomados de otras extensiones como Checker Plus para Gmail.

El momento de este desarrollo no es una coincidencia, ya que Adobe comenzó oficialmente a bloquear la ejecución de contenido Flash en los navegadores a partir del 12 de enero, luego del final de la vida útil del formato multimedia enriquecido el 31 de diciembre de 2020.

Curiosamente, parece que la operación está dirigida solo a los usuarios del navegador Firefox que también han iniciado sesión en sus cuentas de Gmail, ya que el complemento nunca se entrega en escenarios en los que se visita la URL en cuestión en un navegador como Google Chrome o en casos en los que el acceso se realiza a través de Firefox, pero las víctimas no tienen una sesión de Gmail activa.

«En campañas recientes identificadas en febrero de 2021, los dominios de entrega de extensiones de navegador han incitado a los usuarios a ‘Cambiar al navegador Firefox’ al acceder a dominios maliciosos usando el navegador Google Chrome», dijeron los investigadores.

Una vez instalada, la extensión, además de tener acceso a las pestañas del navegador y a los datos de usuario de todos los sitios web, viene equipada con funciones para buscar, leer y eliminar mensajes e incluso reenviar y enviar correos electrónicos desde la cuenta de Gmail comprometida.

Además, FriarFox también se pone en contacto con un servidor controlado por un atacante para recuperar una carga útil basada en PHP y JavaScript llamada Scanbox.

Scanbox es un marco de reconocimiento que permite a los atacantes rastrear a los visitantes de sitios web comprometidos, capturar pulsaciones de teclas y recopilar datos que podrían usarse para permitir compromisos de seguimiento. También se informó que se modificó para entregar malware de segunda etapa en hosts específicos.

Las campañas que utilizan Scanbox fueron detectadas previamente en marzo de 2019 por Recorded Future dirigidas a los visitantes del sitio web de la Dirección General de Inmigración y Pasaportes de Pakistán (DGIP) y un dominio falso con error tipográfico que afirmaba ser la Administración Central Tibetana (CTA) oficial.

La introducción de la extensión del navegador FriarFox en el arsenal de TA413 apunta al «hambre insaciable» de los actores de APT por acceder a cuentas de correo electrónico basadas en la nube, dice Sherrod DeGrippo, director senior de investigación y detección de amenazas de Proofpoint.

«El complejo método de entrega de la herramienta […] otorga a este actor de APT acceso casi total a las cuentas de Gmail de sus víctimas, lo que es especialmente preocupante ya que las cuentas de correo electrónico realmente se encuentran entre los activos de mayor valor en lo que respecta a la inteligencia humana «, señaló DeGrippo.

«Casi cualquier otra contraseña de cuenta se puede restablecer una vez que los atacantes tienen acceso a la cuenta de correo electrónico de alguien. Los actores de amenazas también pueden usar cuentas de correo electrónico comprometidas para enviar correos electrónicos desde esa cuenta utilizando la firma de correo electrónico y la lista de contactos del usuario, lo que hace que esos mensajes sean extremadamente convincentes».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática