Punto de prueba descubierto una campaña en la que los piratas informáticos utilizaron una extensión de Firefox para piratear Gmail. Los ataques estuvieron vinculados al grupo chino TA413..
Según los investigadores, la campaña estuvo activa de enero a febrero 2021. Los piratas informáticos atacaron organizaciones tibetanas en todo el mundo utilizando una extensión maliciosa de Firefox que roba datos de Gmail y Firefox y luego descarga malware en los sistemas infectados..
Los investigadores dicen que los ciberdelincuentes atacaron organizaciones tibetanas con correos electrónicos de phishing dirigidos que atraían a las víctimas a sitios que les incitaban a instalar una actualización Flash falsa., supuestamente requerido para ver el contenido.
De hecho, Estos recursos contenían código que dividía a los usuarios en grupos.. Así que, Sólo a los usuarios de Firefox con una sesión activa de Gmail se les ofreció instalar una extensión maliciosa., mientras que otros hackers no estaban interesados en otros usuarios.
La extensión maliciosa se llamó Componentes de actualización de Flash, pero en realidad era una variación del notificador legítimo de Gmail. (sin reiniciar) extensión, y era capaz de abusar de las siguientes características.
Gmail:
- Buscar correos electrónicos
- Archivar correos electrónicos
- Recibir notificaciones de Gmail
- Leer correos electrónicos
- Cambiar la funcionalidad de alerta visual y de audio en Firefox
- Marcar correos electrónicos
- Marcar correos electrónicos como spam
- Eliminar mensajes
- Actualizar bandeja de entrada
- Reenviar cartas
- Buscando en el correo electrónico
- Eliminar mensajes de la Papelera de Gmail
- Enviar correo desde una cuenta comprometida
Firefox (depende de los derechos otorgados):
- Acceso a los datos del usuario de todos los sitios.
- Mostrar notificaciones
- Leer y cambiar la configuración de privacidad
- Acceder a las pestañas del navegador
Sin embargo, el ataque no terminó ahí. La extensión también descargó e instaló el malware ScanBox en la máquina infectada.. Se trata de una antigua herramienta de malware basada en PHP y JavaScript que ha sido utilizada más de una vez en ataques de grupos de hackers chinos..
El último uso registrado de ScanBox se remonta a 2019, cuando los analistas de Recorded Future notaron ataques a visitantes de sitios paquistaníes y tibetanos.
Curiosamente, Esta vez los falsos ataques Flash funcionaron mejor que nunca.. Si bien la mayoría de los usuarios saben desde hace mucho tiempo que deben mantenerse alejados de los sitios que ofrecen actualizaciones Flash, El soporte para Flash se suspendió a principios de este año.. En enero 12, 2021, todo el contenido flash dejó de jugar en los navegadores, y esto parece ser lo que hizo que los ataques TA413 fueran mucho más exitosos de lo habitual..
Déjame recordarte también que un Versión especial de Flash para China convertida en adware.
