Un hacker usa una extensión del navegador para apoderarse de la cuenta de Gmail del objetivo

Varias organizaciones con sede en el Tíbet (China) fueron objeto recientemente de una campaña de ciberespionaje a gran escala desplegada por un grupo de piratas informáticos respaldados por una empresa de servicios públicos. Una extensión maliciosa en el navegador Firefox. Esta extensión está diseñada para hacerse cargo de las cuentas de Gmail e infectar un sistema con malware.

La investigación inicial mostró que este ataque fue llevado a cabo por un grupo de piratas informáticos con vínculos relativamente estrechos con China: TA413. Las actividades de coordinación comenzaron en enero y continuaron en febrero, según un informe de Proofpoint publicado el 25 de febrero.

En particular, esta campaña maliciosa involucró a Scanbox, un código malicioso conocido por su capacidad para espiar información. Scanbox puede permitir que los actores maliciosos recopilen con precisión los datos de destino y también registren las pulsaciones de teclas.

"Scanbox se ha utilizado en múltiples campañas desde 2014 para dirigirse a la comunidad de inmigrantes tibetanos junto con otras minorías étnicas en China", dijeron los expertos de Proofpoint. que se puede utilizar en futuros intentos de intrusión".

Extensión maliciosa FriarFox

Como descubrió Proofpoint, los correos electrónicos de phishing enviados por los atacantes (TA413) a los buzones objetivo los redirigen a "youtube[.]tv" controlado por ellos mismos. El dominio aparece disfrazado como una página de inicio de actualización de Adobe Flash Player.

Los scripts de configuración de JavaScript ejecutados por este dominio solicitarán automáticamente a los objetivos que instalen un complemento malicioso llamado FriarFox si están utilizando el navegador web Firefox e iniciaron sesión en su cuenta de Gmail.

Si el objetivo está utilizando otro navegador web (que no sea Firefox), será redirigido a la página de inicio de sesión legítima de YouTube. Si están usando Firefox pero no han iniciado sesión en su cuenta de Gmail, se les pedirá que agreguen este complemento malicioso de FriarFox a su navegador.

FriarFox se basó en la extensión legítima de código abierto Firefox Notifier, al cambiar el ícono y los metadatos de la descripción para imitar el proceso de actualización de Flash. Además, FriarFox también adjuntó (deliberadamente) JavaScript malicioso diseñado para apoderarse de la cuenta de Gmail de la víctima e infectar su sistema. con el software malicioso Scanbox.

Cuando se engaña a una víctima para que instale la extensión FriarFox, los actores maliciosos TA413 se apoderan de la cuenta de Gmail de la víctima y usan el navegador Firefox de la víctima para realizar las siguientes acciones maliciosas:

Para cuentas de Gmail:

1. Buscar correo electrónico
2. Copia de seguridad de correo electrónico
3. Recibir notificaciones de Gmail
4. Leer correos electrónicos
5. Cambie las funciones de alerta visual y de audio del navegador Firefox para la extensión FriarFox
6. Marca tu correo electrónico
7. Marcar correo electrónico como spam
8. eliminar un mensaje
9. Actualiza tu bandeja de entrada
10. Reenvío de correo electrónico
11. Eliminar mensajes de la papelera de Gmail
12. Enviar correo electrónico desde una cuenta comprometida

Para Firefox (basado en los permisos del navegador):

1. Acceda a los datos de usuario de todos los sitios.
2. muestra la notificación
3. Lee y cambia tu configuración de privacidad
4. Accede a las pestañas del navegador.

"El uso de extensiones de navegador para apuntar a las cuentas personales de Gmail de los usuarios, combinado con la distribución del malware Scanbox, demuestra la experiencia y habilidad de TA413", concluyó el ensayo de Proofpoint.