Los ciberespías o piratas informáticos patrocinados por el estado chino han perseguido a organizaciones tibetanas en todo el mundo utilizando un complemento malicioso de Firefox que se configuró para robar datos de los navegadores Gmail y Firefox y luego descargar malware en los sistemas infectados.
Antilavadodedinero / Zdnet
Las amenazas de seguridad actuales se han ampliado en alcance y gravedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.
Los ataques, descubiertos por la firma de ciberseguridad Proofpoint este mes, se han vinculado a un grupo que la compañía rastrea bajo el nombre en clave de TA413 .
SOLO SE APUNTÓ A LOS USUARIOS DE FIREFOX
Proofpoint dijo que los atacantes atacaron a las organizaciones tibetanas con correos electrónicos de phishing que atraían a los miembros a sitios web donde se les pedía que instalaran una actualización de Flash para ver el contenido del sitio.
Estos sitios web contenían código que separaba a los usuarios. Solo se solicitó a los usuarios de Firefox con una sesión de Gmail activa que instalaran el complemento malicioso.
El equipo de Proofpoint dijo que si bien la extensión se llamaba “componentes de actualización Flash”, en realidad era una versión del complemento legítimo “notificador de Gmail (sin reiniciar)”, con código malicioso adicional. Según el equipo de investigación, este código podría abusar de las siguientes funciones en los navegadores infectados:
Gmail:
- Buscar correos electrónicos
- Archivar correos electrónicos
- Recibe notificaciones de Gmail
- Leer correos electrónicos
- Modificar las funciones de alerta visual y de audio del navegador Firefox
- Etiquetar correos electrónicos
- Marca los correos electrónicos como spam
- Eliminar mensajes
- Actualizar la bandeja de entrada
- Reenviar correos electrónicos
- Realizar búsquedas de funciones
- Eliminar mensajes de la papelera de Gmail
- Enviar correo desde la cuenta comprometida
Firefox (basado en permisos de navegador otorgados):
- Acceda a los datos de usuario de todos los sitios web
- Mostrar notificaciones
- Leer y modificar la configuración de privacidad
- Acceder a las pestañas del navegador
EL COMPLEMENTO DE FIREFOX TAMBIÉN INSTALÓ MALWARE
La ciberseguridad juega un papel vital en impulsar el crecimiento empresarial. Las empresas con una ciberseguridad sólida tienen una fuerte ventaja competitiva sobre aquellas que no la tienen.Libros blancos proporcionados por ISC2
Pero el ataque no se detuvo aquí. Proofpoint dijo que la extensión también descargó e instaló el malware ScanBox en los sistemas infectados.
Un marco de reconocimiento basado en PHP y JavaScript, este malware es una herramienta antigua que se vio en ataques anteriores llevados a cabo por grupos de ciberespionaje chinos.
“Scanbox se ha utilizado en numerosas campañas desde 2014 para apuntar a la diáspora tibetana junto con otras minorías étnicas a menudo atacadas por grupos alineados con los intereses del estado chino”, dijo Proofpoint en un informe hoy .
El último caso registrado de un ataque ScanBox se remonta a 2019 cuando Recorded Future informó de ataques contra visitantes de sitios web paquistaníes y tibetanos .
En cuanto a sus capacidades, Proofpoint dice que ScanBox es “capaz de rastrear visitantes a sitios web específicos, realizar keylogging y recopilar datos de usuarios que se pueden aprovechar en futuros intentos de intrusión”, lo que hace que esta sea una amenaza peligrosa para instalar en sus sistemas.
FLASH EOL PODRÍA HABER AYUDADO A LOS ATACANTES
En esta campaña en particular, que Proofpoint denominó FriarFox , los ataques comenzaron en enero de 2021 y continuaron durante todo el mes de febrero.
Aunque los piratas informáticos han estado utilizando temas de actualización de Flash falsos durante años y la mayoría de los usuarios saben que deben mantenerse alejados de los sitios web que ofrecen actualizaciones de Flash de la nada, se cree que estos ataques han funcionado mucho mejor que los anteriores.
La razón es que Adobe retiró Flash Player a fines de 2020, y todo el contenido Flash dejó de reproducirse dentro de los navegadores el 12 de enero de 2021 , cuando Proofpoint también vio las primeras campañas TA413 FriarFox dirigidas a organizaciones tibetanas.
