Una extensión maliciosa para múltiples versiones del navegador web Firefox habría sido utilizada en una ambiciosa campaña de ciberespionaje apuntando contra múltiples organizaciones en el Tíbet. El ataque, presuntamente vinculado al grupo de hacking chino identificado como APT TA413, consistió en el secuestro de cuentas vulnerables de Gmail y una eventual infección de malware, mencionan los expertos de la firma Proofpoint.
Los expertos mencionan que estos hackers habrían usado el malware de reconocimiento Scanbox, permitiéndoles recopilar una gran cantidad de datos e incluso llevar un registro de las pulsaciones del teclado de las víctimas: “Este malware ha sido utilizado al menos desde hace 6 años; en este contexto, los grupos étnicos minoritarios en Tíbet se ven acosados por las autoridades chinas usando estas técnicas de hacking.”
Todo comienza con un email de phishing enviado a las víctimas y que contenía un enlace al dominio you-tube(.)tv que incluía un falso inicio de sesión para Adobe Flash Player Update. Si las víctimas entran a esta plataforma, se instalará un plugin malicioso conocido como FriarFox, que abrirá el navegador FireFox e iniciará sesión en su cuenta de Gmail.
Los expertos mencionan que el ataque requiere forzosamente del uso de Firefox, ya que de usar cualquier otro navegador web, el usuario objetivo sería redirigido al sitio oficial de YouTube. FriarFox se basa en el plugin de código abierto Gmail Notifier, cambiando su ícono y descripción en metadatos con el fin de imitar un proceso de actualización de Flash Player.
Los actores de amenazas también agregaron muestras de JavaScript malicioso para tomar control de las cuentas de Gmail afectadas y extraer toda la información posible usando Scanbox. Después de engañar a las víctimas para que instalen FriarFox, los hackers maliciosos secuestran las cuentas de Gmail para desplegar algunos de los siguientes ataques:
- Buscar correos electrónicos
- Archivar correos electrónicos
- Recibir notificaciones de Gmail
- Leer correos electrónicos
- Modificar las funciones de alerta visual y de audio de Firefox
- Etiquetar correos electrónicos
- Marcar correos electrónicos como spam
- Eliminar mensajes
- Actualizar la bandeja de entrada
- Reenviar correos electrónicos
- Realizar búsquedas de funciones
- Eliminar mensajes de la papelera de Gmail
Los expertos mencionan que el uso de extensiones de navegador para secuestrar cuentas de Gmail demuestra la sofisticación de métodos empleados por este grupo de hacking, algo especialmente perjudicial considerando que el ataque apunta contra los miembros de una minoría en un país autoritario: “APT TA413 parece estar modulando sus herramientas y técnicas de hacking e ingeniería social para el acoso sistemático de comunidades vulnerables”, concluyen los expertos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.