Home Ciberguerra Ciberdelincuentes chinos, atacan a los tibetanos con una extensión maliciosa de Firefox

Ciberdelincuentes chinos, atacan a los tibetanos con una extensión maliciosa de Firefox

Piratas informáticos, respaldados por el Partido Comunista Chino, han estado espiando a activistas tibetanos a través de una nueva extensión maliciosa de Firefox, reveló Proofoint.

El proveedor de seguridad explicó que había visto campañas de phishing de bajo nivel contra la diáspora tibetana desde marzo de 2020, pero que estas tomaron otro giro en los dos primeros meses de 2021 con el uso de una extensión maliciosa personalizada apodada “FriarFox”.

“Atribuimos esta actividad a TA413, quien además de la extensión del navegador FriarFox, también fue observado entregando tanto el malware Scanbox como Sepulcher a organizaciones tibetanas a principios de 2021”, agregó.

Se cree que el propio TA413 es un grupo APT alineado con el estado chino.

El malware se distribuye a través de correos electrónicos de spear-phishing que suplantan a remitentes como la Oficina de Su Santidad el Dalai Lama en la India y la Asociación de Mujeres Tibetanas. Suelen incluir un enlace malicioso que conduce a una falsa “actualización de Adobe Flash Player” que ejecuta JavaScript para escanear el equipo del destinatario.

Estos scripts decidirán entonces si entregan la carga útil FriarFox, que proporciona acceso a la cuenta de Gmail de la víctima.

Ha sido diseñado para buscar, archivar, leer, eliminar, reenviar y marcar los correos electrónicos como spam, así como acceder a las pestañas del navegador en Firefox, modificar la configuración de privacidad y acceder a los datos del usuario para todos los sitios web.

Los atacantes también intentan descargar el malware ScanBox, un “marco de reconocimiento basado en JavaScript” que data de 2014 y que puede rastrear a los visitantes de ciertos sitios web, realizar keylogging y recopilar datos de los usuarios para utilizarlos en futuros intentos de intrusión.

“A diferencia de muchos grupos APT, la divulgación pública de campañas, herramientas e infraestructura no ha llevado a cambios operativos significativos de TA413”, concluyó Proofpoint. “En consecuencia, anticipamos el uso continuado de un modus operandi similar dirigido a los miembros de la diáspora tibetana en el futuro”.

Con información de: Info Security Magazine.