La empresa de ciberseguridad y cumplimiento normativo Proofpoint ha identificado una extensión maliciosa para Mozilla Firefox, a la que ha denominado FriarFox, que facilitaba el acceso y el control de cuentas de usuarios en Gmail. El equipo de investigación de la compañía ha atribuido esta actividad al grupo de atacantes de APT TA413 que suele estar alineado con los intereses del Partido Comunista Chino en temas de espionaje y vigilancia de disidentes civiles, incluidos aquellos relacionados con la diáspora tibetana. Desde marzo de 2020 Proofpoint ha estado rastreando ataques de phishing de bajo volumen dirigidos a organizaciones tibetanas en todo el mundo, y ha sido entre enero y febrero de este año cuando ha detectado esta nueva actividad por parte de TA413, vinculado también a campañas previas de malwares como Scanbox y Sepulcher.
El complejo método de entrega con FriarFox garantizaba a los atacantes acceder a las cuentas de Gmail de sus víctimas, algo especialmente preocupante si se tiene en cuenta que el correo electrónico es uno de los principales vectores de ataque y uno de los activos de mayor valor como fuente de información sobre personas. Una vez que los ciberdelincuentes tenían acceso a la cuenta comprometida, podían restablecer la contraseña y enviar emails desde esa dirección con la firma del usuario, accediendo también a su lista de contactos, lo que resultaba extremadamente convincente.
En esta ocasión el grupo TA413 ha alterado distintas secciones de la extensión Notifier de Gmail a fin de incrementar sus capacidades dañinas, ocultar las alertas del navegador a los usuarios y enmascarar la extensión como si se tratase de una herramienta relacionada con Adobe Flash. Así los atacantes han conseguido esconder la extensión maliciosa FriarFox a las víctimas afectadas.
Desde Proofpoint, Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección, comenta que «en los últimos seis meses si algo ha quedado demostrado es el hambre insaciable de los grupos APT a la hora de acceder a cuentas de correo en cloud». » El uso malicioso de extensiones de navegador no es nada nuevo, pero se trata de una superficie de ataque a menudo olvidada por muchas empresas. Nos ha sorprendido ver a TA413 emplear este método en este caso para espiar a disidentes tibetanos, pero también vemos muy probable que otros ciberdelincuentes utilicen esta misma técnica en sus ataques contra organizaciones del sector público o privado en todo el mundo”.