Hackers chinos espiaron a activistas tibetanos con una extensión maliciosa de Firefox

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Hackers chinos
Hackers chinos

Piratas informáticos respaldados por el Partido Comunista Chino han estado espiando a activistas tibetanos a través de una nueva extensión maliciosa de Mozilla Firefox, según ha informado Proofpoint.

La compañía de ciberseguridad y cumplimiento normativo ha estado rastreando ataques de phishing de bajo volumen dirigidos a organizaciones tibetanas en todo el mundo desde marzo de 2020. Y ha sido entre enero y febrero de este año cuando ha identificado el uso de una extensión maliciosa personalizada a la que ha denominado Friarfox.

El equipo de investigación de Proofpoint ha atribuido esta actividad al grupo de atacantes de APT TA413. Sobre este grupo, la compañía señala que "suele estar alineado con los intereses del Partido Comunista Chino en temas de espionaje y vigilancia de disidentes civiles, incluidos aquellos relacionados con la diáspora tibetana" y que también ha estado vinculado a campañas previas de malwares como Scanbox y Sepulcher.

Así atacaba "Friarfox" a los usuarios de Firefox

Según explica Proofpoint, el grupo TA413 atacó a organizaciones tibetanas con correos electrónicos de phishing que suplantaban la identidad de remitentes como la Oficina de su Santidad el Dalai Lama en India y la Asociación de Mujeres Tibetanas. Estos e-mails contenían un enlace malicioso que redirigía a sus destinatarios a una página web en la que, a los usuarios de Firefox con una sesión de Gmail activa, se les solicitaba que instalaran una actualización de Adobe Flash Player para ver el contenido del sitio.

La compañía detalla que la extensión se llamaba "componentes actualización Flash" pero que en realidad era una versión del complemento legítimo "notificador de Gmail (sin reinicio)", con código malicioso adicional. Según el equipo de investigación, este código podría abusar de las siguientes funciones en los navegadores infectados:

En Gmail:

  • Buscar correos electrónicos. 
  • Archivar correos electrónicos. 
  • Recibir notificaciones de Gmail. 
  • Leer correos electrónicos. 
  • Modificar las funciones de alerta visual y de audio del navegador Firefox.
  • Etiquetar correos electrónicos. 
  • Marcar los correos electrónicos como spam.
  • Eliminar mensajes. 
  • Actualizar la bandeja de entrada. 
  • Reenviar correos electrónicos. 
  • Realizar búsquedas de funciones. 
  • Eliminar mensajes de la papelera de Gmail. 
  • Enviar correo desde la cuenta comprometida. 

En Firefox (basado en permisos de navegador otorgados):

  • Acceder a los datos de usuario de todos los sitios web.
  • Mostrar notificaciones.
  • Leer y modificar la configuración de privacidad.
  • Acceder a las pestañas del navegador.

"Friarfox" también instaló malware

Proofpoint indica que el ataque no se detuvo aquí ya que la extensión maliciosa Friarfox también descargó e instaló el malware ScanBox en los sistemas infectados.

"Scanbox' se ha utilizado en numerosas campañas desde 2014 para apuntar a la diáspora tibetana junto con otras minorías étnicas a menudo atacadas por grupos alineados con los intereses del estado chino",  afirma la compañía en su publicación.

El último caso registrado de un ataque ScanBox se remonta a marzo del 2019, cuando Recorded Future informó de ataques contra visitantes de sitios web paquistaníes y tibetanos.

En cuanto a sus capacidades, Proofpoint señala que ScanBox es "capaz de rastrear visitantes a sitios web específicos, realizar keylogging y recopilar datos de usuario que pueden aprovecharse en futuros intentos de intrusión", lo que hace que sea una peligrosa amenaza para instalar en los sistemas.

Otros ciberdelincuentes podrían usar esta misma técnica contra organizaciones de todo el mundo

Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint, ha subrayado que "en los últimos seis meses si algo ha quedado demostrado es el hambre insaciable de los grupos APT a la hora de acceder a cuentas de correo en cloud". Además, ha lanzado la siguiente advertencia:

"El uso malicioso de extensiones de navegador no es nada nuevo, pero se trata de una superficie de ataque a menudo olvidada por muchas empresas. Nos ha sorprendido ver a TA413 emplear este método en este caso para espiar a disidentes tibetanos, pero también vemos muy probable que otros ciberdelincuentes utilicen esta misma técnica en sus ataques contra organizaciones del sector público o privado en todo el mundo".