Facebook Linkedin Twitter Instagram Youtube Telegram

El grupo TA413 crea una extensión maliciosa de Firefox para atacar cuentas de Gmail

Proofpoint ha identificado una extensión maliciosa para Mozilla Firefox, a la que ha denominado FriarFox

FriarFoz facilitaba el acceso y el control de cuentas de usuarios en Gmail. El equipo de investigación de la compañía ha atribuido esta actividad al grupo de atacantes de APT TA413 que suele estar alineado con los intereses del Partido Comunista Chino en temas de espionaje y vigilancia de disidentes civiles, incluidos aquellos relacionados con la diáspora tibetana. Desde marzo de 2020 Proofpoint ha estado rastreando ataques de phishing de bajo volumen dirigidos a organizaciones tibetanas en todo el mundo, y ha sido entre enero y febrero de este año cuando ha detectado esta nueva actividad por parte de TA413, vinculado también a campañas previas de malwares como Scanbox y Sepulcher.

El complejo método de entrega con FriarFox garantizaba a los atacantes acceder a las cuentas de Gmail de sus víctimas, algo especialmente preocupante si se tiene en cuenta que el correo electrónico es uno de los principales vectores de ataque y uno de los activos de mayor valor como fuente de información sobre personas. Una vez que los ciberdelincuentes tenían acceso a la cuenta comprometida, podían restablecer la contraseña y enviar emails desde esa dirección con la firma del usuario, accediendo también a su lista de contactos, lo que resultaba extremadamente convincente.

En esta ocasión el grupo TA413 ha alterado distintas secciones de la extensión Notifier de Gmail a fin de incrementar sus capacidades dañinas, ocultar las alertas del navegador a los usuarios y enmascarar la extensión como si se tratase de una herramienta relacionada con Adobe Flash. Así los atacantes han conseguido esconder la extensión maliciosa FriarFox a las víctimas afectadas.

Desde Proofpoint, Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección, comenta que «en los últimos seis meses si algo ha quedado demostrado es el hambre insaciable de los grupos APT a la hora de acceder a cuentas de correo en cloud»» El uso malicioso de extensiones de navegador no es nada nuevo, pero se trata de una superficie de ataque a menudo olvidada por muchas empresas. Nos ha sorprendido ver a TA413 emplear este método en este caso para espiar a disidentes tibetanos, pero también vemos muy probable que otros ciberdelincuentes utilicen esta misma técnica en sus ataques contra organizaciones del sector público o privado en todo el mundo”.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.