février 28, 2021

Les cyberespions chinois ont ciblé les Tibétains avec un module complémentaire malveillant pour Firefox

Par andy1712


ta413-firefox-attack.jpg

Image: Proofpoint

Des pirates informatiques parrainés par l’État chinois se sont attaqués aux organisations tibétaines du monde entier en utilisant un module complémentaire malveillant de Firefox configuré pour voler les données des navigateurs Gmail et Firefox, puis télécharger des logiciels malveillants sur les systèmes infectés.

Une fonction spéciale

La cyberguerre et l'avenir de la cybersécurité

La cyberguerre et l’avenir de la cybersécurité

Les menaces à la sécurité d’aujourd’hui ont pris de l’ampleur et de la gravité. Il peut désormais y avoir des millions, voire des milliards, de dollars en danger lorsque la sécurité des informations n’est pas gérée correctement.

Lire la suite

Les attaques, découvertes par la société de cybersécurité Proofpoint ce mois-ci, ont été liées à un groupe que la société suit sous le nom de code de TA413.

Seuls les utilisateurs de Firefox ont été ciblés

Proofpoint a déclaré que les attaquants avaient ciblé des organisations tibétaines avec des e-mails de spear phishing qui attiraient les membres sur des sites Web où ils seraient invités à installer une mise à jour Flash pour afficher le contenu du site.

Ces sites Web contenaient du code qui séparait les utilisateurs. Seuls les utilisateurs de Firefox avec une session Gmail active ont été invités à installer le module complémentaire malveillant.

L’équipe de Proofpoint a déclaré que si l’extension s’appelait «Composants de mise à jour Flash», il s’agissait en fait d’une version du module complémentaire légitime «Gmail notifier (restartless)», avec un code malveillant supplémentaire. Selon l’équipe de recherche, ce code pourrait abuser des fonctions suivantes sur les navigateurs infectés:

Gmail:

  • Rechercher des e-mails
  • Archiver les e-mails
  • Recevoir des notifications Gmail
  • Lire les e-mails
  • Modifier les fonctionnalités d’alerte audio et visuelle du navigateur Firefox
  • Étiqueter les e-mails
  • Marque les e-mails comme spam
  • Supprimer les messages
  • Actualiser la boîte de réception
  • Transférer des e-mails
  • Effectuer des recherches de fonctions
  • Supprimer les messages de la corbeille de Gmail
  • Envoyer des e-mails à partir du compte compromis

Firefox (basé sur les autorisations de navigateur accordées):

  • Accéder aux données utilisateur de tous les sites Web
  • Afficher les notifications
  • Lire et modifier les paramètres de confidentialité
  • Accéder aux onglets du navigateur

Le module complémentaire Firefox a également installé des logiciels malveillants

Mais l’attaque ne s’est pas arrêtée ici. Proofpoint a déclaré que l’extension a également téléchargé et installé le Logiciel malveillant ScanBox sur les systèmes infectés.

Cadre de reconnaissance basé sur PHP et JavaScript, ce malware est un ancien outil vu lors d’attaques précédentes menées par des groupes de cyberespionnage chinois.

“Scanbox a été utilisé dans de nombreuses campagnes depuis 2014 pour cibler la diaspora tibétaine avec d’autres minorités ethniques souvent ciblées par des groupes alignés sur les intérêts de l’État chinois”, Proofpoint a déclaré dans un rapport aujourd’hui.

Le dernier cas enregistré d’attaque ScanBox remonte à 2019 lorsque Recorded Future a signalé attaques contre les visiteurs de sites Web pakistanais et tibétains.

En ce qui concerne ses capacités, Proofpoint affirme que ScanBox est “capable de suivre les visiteurs vers des sites Web spécifiques, d’effectuer des enregistrements de frappe et de collecter des données utilisateur pouvant être exploitées lors de futures tentatives d’intrusion”, ce qui en fait une menace dangereuse à installer sur vos systèmes.

Flash EOL aurait pu aider les attaquants

Dans cette campagne particulière, que Proofpoint a nommé FriarFox, les attaques ont commencé en janvier 2021 et se sont poursuivies tout au long du mois de février.

Bien que les pirates utilisent de faux thèmes de mise à jour Flash depuis des années et que la plupart des utilisateurs savent qu’ils doivent rester à l’écart des sites Web proposant des mises à jour Flash à l’improviste, ces attaques auraient bien mieux fonctionné que les précédentes.

La raison en est qu’Adobe a retiré Flash Player à la fin de 2020 et que tout le contenu Flash a cessé de jouer dans les navigateurs le 12 janvier 2021, lorsque Proofpoint a également vu les premières campagnes TA413 FriarFox ciblant les organisations tibétaines.