La extensión maliciosa de Mozilla Firefox permite la captura de Gmail - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La extensión maliciosa de Mozilla Firefox permite la captura de Gmail

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y esta vez te voy a hablar sobre La extensión maliciosa de Mozilla Firefox permite la captura de Gmail

La extensión maliciosa de Mozilla Firefox permite la captura de Gmail

La extensión maliciosa, FriarFox, mueve datos relacionados con Firefox y Gmail.

Un ciberataque recién descubierto está tomando el control de las cuentas de Gmail de las víctimas, utilizando una extensión de navegador Mozilla Firefox personalizada y maliciosa llamada FriarFox.

Los investigadores dicen que la campaña de amenazas, observada en enero y febrero, apuntó a organizaciones tibetanas y estaba vinculada a TA413, un grupo conocido de amenazas persistentes avanzadas (APT) que los investigadores creen que está alineado con el estado chino.

El grupo detrás de este ataque tiene como objetivo recopilar información sobre las víctimas metiendo sus narices en los datos del navegador Firefox y los mensajes de Gmail, dijeron los investigadores.

Después de la instalación, FriarFox ofrece a los ciberdelincuentes varios tipos de acceso a las cuentas de Gmail de los usuarios y a los datos del navegador Firefox.

Por ejemplo, los ciberdelincuentes tienen la capacidad de buscar, leer, etiquetar, eliminar, reenviar y archivar correos electrónicos, recibir notificaciones de Gmail y enviar correo desde la cuenta comprometida. Además, dado acceso al navegador Firefox, podían acceder a los datos del usuario de todos los sitios web, ver notificaciones, leer y cambiar la configuración de privacidad y acceder a las pestañas del navegador.

«La introducción de la extensión del navegador FriarFox en el arsenal TA413 diversifica aún más un repertorio diverso, aunque técnicamente limitado, de herramientas», dijo Proofpoint el jueves. «El uso de extensiones de navegador para dirigirse a las cuentas privadas de Gmail de los usuarios, combinado con la distribución del malware Scanbox, demuestra la maleabilidad de TA413 cuando se dirige a comunidades disidentes».

El ataque fue el resultado de correos electrónicos de phishing (detectados por primera vez a fines de enero), dirigidos a varias organizaciones tibetanas. Se dijo que uno de los correos electrónicos descubiertos por los investigadores provenía de la «Asociación de Mujeres Tibetanas», un grupo legítimo con sede en India. El asunto del correo electrónico era: «Dentro del Tíbet y la comunidad tibetana en el exilio».

Los investigadores notaron que los correos electrónicos se enviaron desde una conocida cuenta de Gmail TA413, que ha estado en uso durante varios años. El correo electrónico se hace pasar por la oficina de Su Santidad el Dalai Lama en India, dijeron los investigadores.

El correo electrónico contenía una URL maliciosa que se hacía pasar por una página de YouTube (hxxps: // you-tube[.]TELEVISOR/). De hecho, este enlace llevó a los destinatarios a una página de inicio temática de actualización de Adobe Flash Player falsa, donde comienza el proceso de descarga de la extensión del navegador malicioso.

La página de «actualización» maliciosa luego ejecuta varios archivos JavaScript, que perfilan el sistema del usuario y determinan si proporcionar o no la extensión maliciosa FriarFox; La instalación de FriarFox depende de varias condiciones.

«Los actores de amenazas parecen apuntar a los usuarios que usan un navegador Firefox y usan Gmail en ese navegador», dijeron los investigadores. “El usuario debe acceder a la URL desde un navegador Firefox para recibir la extensión del navegador. Además, se descubrió que el usuario debe iniciar sesión activamente en una cuenta de Gmail con ese navegador para instalar con éxito el XPI malicioso. [FriarFox] expediente.»

A los usuarios de Firefox con una sesión de Gmail activa se les ofrece inmediatamente la extensión FriarFox (de hxxps: // you-tube[.]tv / download.php) con un mensaje que permite la descarga de software desde el sitio.

Página de inicio de la campaña. Crédito: Proofpoint

Se les pide que agreguen la extensión del navegador (aprobando los permisos de la extensión), que afirma ser «componentes de actualización de Flash».

Pero los actores de amenazas también usan varios trucos contra los usuarios que no usan un navegador Firefox y / o que no tienen una sesión de Gmail activa.

Por ejemplo, un usuario que no tenía una sesión de Gmail activa y no usaba Firefox fue redirigido a la página de inicio de sesión legítima de YouTube después de visitar la página de inicio falsa de Adobe Flash Player. Luego, los atacantes intentaron acceder a una cookie de dominio activo en uso en el sitio.

En esta situación, «los actores pueden intentar aprovechar esta cookie de dominio para iniciar sesión en la cuenta de Gmail del usuario en caso de que se utilice una sesión de inicio de sesión federada de GSuite para iniciar sesión en la cuenta de YouTube del usuario», dijeron los investigadores. Sin embargo, «este usuario no tiene la extensión del navegador FriarFox».

Los investigadores dijeron que FriarFox parece estar basado en una herramienta de código abierto llamada «Notificador de Gmail (sin reiniciar)». Esta es una herramienta gratuita disponible en varias ubicaciones, incluido GitHub, la tienda de complementos del navegador Mozilla Firefox y la tienda de aplicaciones QQ. La extensión maliciosa también viene en forma de un archivo XPI, señalaron los investigadores: estos archivos son archivos de instalación comprimidos utilizados por varias aplicaciones de Mozilla y contienen el contenido de una extensión del navegador Firefox.

El vector de ataque de FriarFox. Crédito: Proofpoint

«Los creadores de amenazas TA413 han modificado varias secciones de la extensión del navegador de código abierto Gmail Notifier para mejorar su funcionalidad maliciosa, ocultar las advertencias del navegador a las víctimas y disfrazar la extensión como una herramienta relacionada con Adobe Flash», dijeron los investigadores.

Después de instalar FriarFox, uno de los archivos Javascript (tabletView.js) también se pone en contacto con un servidor controlado por un actor para recuperar el marco de Scanbox. Scanbox es un marco de reconocimiento basado en PHP y JavaScript capaz de recopilar información sobre los sistemas de las víctimas, que se remonta a 2014.

TA413 se ha asociado con los intereses del estado chino y es conocido por apuntar a la comunidad tibetana. Hasta septiembre, APT, con sede en China, envió correos electrónicos de spear phishing a organizaciones que distribuían una RAT de recopilación de inteligencia nunca antes vista llamada Sepulcher.

«Aunque no es convencionalmente sofisticado en comparación con otros grupos activos de APT, TA413 combina herramientas de código abierto modificadas, marcos de reconocimiento compartidos con fecha, una variedad de vectores de entrega y tácticas de ingeniería social altamente específicas», dijeron los investigadores.

Los investigadores dijeron que esta última campaña muestra que TA413 parece inclinarse hacia el uso de herramientas de código abierto más modificadas para comprometer a las víctimas.

«A diferencia de muchos grupos de APT, la divulgación pública de campañas, herramientas e infraestructura no condujo a cambios operativos significativos de TA413», dijeron. «En consecuencia, anticipamos el uso continuo de un modus operandi similar dirigido a miembros de la diáspora tibetana en el futuro».

.

Puedes compartir en en tu Twitter y Facebook para que tus colegas lo lean

??? ? ? ???

Comparte