Les chercheurs en cybersécurité ont lancé aujourd’hui une nouvelle campagne visant à espionner les communautés tibétaines vulnérables du monde entier en déployant une extension Firefox malveillante sur les systèmes cibles.
« Les acteurs de la menace alignés sur les intérêts de l’État du Parti communiste chinois ont fourni une extension de navigateur Mozilla Firefox malveillante personnalisée qui a facilité l’accès et le contrôle des comptes Gmail des utilisateurs », a déclaré Proofpoint dans une analyse.
La société de sécurité d’entreprise basée à Sunnyvale a épinglé l’opération de phishing sur une menace persistante avancée (APT) chinoise qu’elle suit comme TA413, qui a été précédemment attribuée aux attaques contre la diaspora tibétaine en tirant parti Leurres sur le thème COVID pour livrer le malware Sepulcher avec l’objectif stratégique d’espionnage et de surveillance des dissidents civils.
Les chercheurs ont déclaré que les attaques avaient été détectées en janvier et février 2021, un schéma qui se poursuit depuis mars 2020.
La chaîne d’infection commence par un e-mail d’hameçonnage se faisant passer pour «l’Association des femmes tibétaines» en utilisant un compte Gmail lié à TA413 qui est connu pour se faire passer pour le Bureau de Sa Sainteté le Dalaï Lama en Inde.
Les e-mails contiennent une URL malveillante, supposément un lien vers YouTube, alors qu’en fait, les utilisateurs sont redirigés vers une fausse page de destination «Adobe Flash Player Update» où ils sont invités à installer une extension Firefox que Proofpoint appelle «FriarFox».
Pour sa part, l’extension non autorisée – nommée «composants de mise à jour Flash» – se déguise en outil lié à Adobe Flash, mais les chercheurs ont déclaré qu’elle était en grande partie basée sur un outil open source nommé «Gmail Notifier (sans redémarrage)» avec des modifications importantes qui ajouter des fonctionnalités malveillantes, y compris l’incorporation de versions modifiées de fichiers provenant d’autres extensions telles que Checker Plus pour Gmail.
Le moment choisi pour ce développement n’est pas une coïncidence, car Adobe a officiellement commencé à empêcher le contenu Flash de s’exécuter dans les navigateurs à partir du 12 janvier. Le format multimédia riche atteint la fin de vie le 31 décembre 2020.
Fait intéressant, il semble que l’opération ne cible que les utilisateurs du navigateur Firefox qui sont également connectés à leurs comptes Gmail, car le module complémentaire n’est jamais livré dans les scénarios lorsque l’URL en question est visitée sur un navigateur tel que Google Chrome ou dans les cas où l’accès se fait via Firebox, mais les victimes n’ont pas de session Gmail active.
« Dans les campagnes récentes identifiées en février 2021, les domaines de diffusion des extensions de navigateur ont incité les utilisateurs à » Passer au navigateur Firefox « lorsqu’ils accédaient à des domaines malveillants à l’aide du navigateur Google Chrome, » le des chercheurs mentionné.
En plus d’avoir accès aux onglets du navigateur et aux données utilisateur pour tous les sites Web, l’extension est équipée de fonctionnalités pour rechercher, lire et supprimer des messages et même transférer et envoyer des e-mails à partir du compte Gmail compromis.
De plus, FriarFox contacte également un serveur contrôlé par un attaquant pour récupérer une charge utile PHP et JavaScript appelée Scanbox.
Scanbox est un cadre de reconnaissance qui permet aux attaquants de suivre les visiteurs vers des sites Web compromis, de capturer des frappes et de récolter des données qui pourraient être utilisées pour permettre des compromis ultérieurs. Il a également été signalé avoir été modifié afin de diffuser des logiciels malveillants de deuxième étape sur des hôtes ciblés.
Les campagnes utilisant Scanbox avaient déjà été repérées en mars 2019 par Futur enregistré ciblant les visiteurs du site Web de la Direction générale pakistanaise de l’immigration et des passeports (DGIP) et un faux domaine typosquatté prétendant être l’administration centrale tibétaine officielle (CTA).
L’introduction de l’extension de navigateur FriarFox dans l’arsenal de TA413 indique la «soif insatiable» des acteurs d’APT pour l’accès aux comptes de messagerie basés sur le cloud, déclare Sherrod DeGrippo, directeur senior de la recherche et de la détection des menaces chez Proofpoint.
« La méthode de livraison complexe de l’outil […] accorde à cet acteur APT un accès quasi total aux comptes Gmail de leurs victimes, ce qui est d’autant plus troublant que les comptes de messagerie font vraiment partie des atouts les plus précieux en matière d’intelligence humaine », a noté DeGrippo.
« Presque tous les autres mots de passe de compte peuvent être réinitialisés une fois que les attaquants ont accès au compte de messagerie de quelqu’un. Les acteurs de la menace peuvent également utiliser des comptes de messagerie compromis pour envoyer des e-mails à partir de ce compte en utilisant la signature e-mail et la liste de contacts de l’utilisateur, ce qui rend ces messages extrêmement convaincants. »