Les comptes Gmail sont ciblés par une extension malveillante de Mozilla

0

Une cyberattaque récemment découverte prend le contrôle des comptes Gmail des victimes en utilisant une extension malveillante du navigateur Mozilla Firefox appelée FriarFox.

Les chercheurs affirment que la campagne de menace, observée en Janvier et Février, visait des organisations tibétaines et était liée au TA413, un groupe connu de menace persistante avancée (APT) que les chercheurs croient être sponsorisé par l’État chinois.

Le groupe à l’origine de cette attaque vise à recueillir des informations sur les victimes en fouinant dans les données du navigateur Firefox et les messages Gmail, ont déclaré les chercheurs.

Après l’installation, FriarFox offre aux cybercriminels différents types d’accès aux comptes Gmail des utilisateurs et aux données du navigateur Firefox.

Par exemple, les cybercriminels ont la possibilité de rechercher, lire, étiqueter, supprimer, transmettre et archiver des e-mails, recevoir des notifications Gmail et envoyer du courrier à partir du compte compromis. Et, compte tenu de leur accès au navigateur Firefox, ils pouvaient accéder aux données des utilisateurs pour tous les sites Web, afficher des notifications, lire et modifier les paramètres de confidentialité et accéder aux onglets du navigateur.

« L’introduction de l’extension du navigateur FriarFox dans l’arsenal de TA413 diversifie encore un répertoire varié, bien que techniquement limité», a déclaré Proofpoint. « L’utilisation d’extensions de navigateur pour cibler les comptes Gmail privés des utilisateurs, combinée à la livraison du logiciel malveillant Scanbox, démontre la malléabilité de TA413 lorsqu’il s’adresse aux communautés dissidentes. »

La cyberattaque: Divulguer par des e-mails malveillants

L’attaque est née d’e-mails d’hameçonnage (détectés pour la première fois fin janvier), ciblant plusieurs organisations tibétaines. L’un des e-mail découverts par des chercheurs était censé provenir de l’Association des femmes tibétaines, qui est un groupe légitime basé en Inde. Le sujet de l’e-mail était: « À l’intérieur du Tibet et de la communauté tibétaine en exil. »

Les chercheurs ont noté que les e-mails ont été livrés à partir d’un compte Gmail qui appartient à TA413 et qui est utilisé depuis plusieurs années. L’e-mail usurpe l’identité du Bureau de Sa Sainteté le Dalaï Lama en Inde, ont déclaré les chercheurs.

L’e-mail contenait une URL malveillante, qui se faisait passer pour une page YouTube (hxxps://you-tube[.]tv/). En réalité, ce lien a dirigé les destinataires vers une fausse page de mise à jour d’Adobe Flash Player où le processus de téléchargement de l’extension malveillante du navigateur commence.

Fausse page d’Adobe Flash Player et téléchargement de FriarFox

La page de « mise à jour » malveillante exécute ensuite plusieurs fichiers JavaScript, qui font un profil du système de l’utilisateur et déterminent s’il y a ou non à fournir l’extension FriarFox malveillante; l’installation de FriarFox dépend de plusieurs conditions.

« Les pirates informatiques semblent cibler les utilisateurs qui utilisent un navigateur Firefox et utilisent Gmail dans ce navigateur », ont déclaré les chercheurs. « L’utilisateur doit accéder à l’URL à partir d’un navigateur Firefox pour recevoir l’extension du navigateur. En outre, il semble que l’utilisateur doit être activement connecté à un compte Gmail avec ce navigateur pour installer avec succès le fichier XPI malveillant [FriarFox]. »

Les utilisateurs de Firefox avec une session Gmail active sont immédiatement servis l’extension FriarFox (à partir de hxxps://you-tube[.]tv/download.php) avec une fenêtre qui permet le téléchargement de logiciels à partir du site.

mozilla firefox friarfox

Ils sont invités à ajouter l’extension du navigateur (en approuvant les autorisations de l’extension), qui prétend être « des composants de mise à jour de Flash. »

Mais les pirates informatiques utilisent également divers astuces contre les utilisateurs qui n’utilisent pas un navigateur Firefox et/ou qui n’ont pas une session Gmail active.

Par exemple, un utilisateur qui n’avait pas de session Gmail active et qui n’utilisait pas Firefox a été redirigé vers la page de connexion YouTube légitime, après avoir visité la fausse page d’Adobe Flash Player. Les hackers ont ensuite tenté d’accéder à un cookie de domaine actif utilisé sur le site.

Dans ce cas, « les pirates peuvent tenter de tirer parti de ce cookie de domaine pour accéder au compte Gmail de l’utilisateur dans le cas où une session de connexion fédérée GSuite est utilisée pour se connecter au compte YouTube de l’utilisateur », ont déclaré les chercheurs. Toutefois, « cet utilisateur n’est pas desservi par l’extension FriarFox ».

L’extension FriarFox: Capacités malveillantes

Les chercheurs ont déclaré que FriarFox semble être basé sur un outil open-source appelé « Gmail Notifier (restartless). » Il s’agit d’un outil gratuit qui est disponible à partir de divers endroits, y compris GitHub, le Mozilla Firefox Browser Add-Ons store et le QQ App Store. L’extension malveillante se présente également sous la forme d’un fichier XPI, ont noté les chercheurs – ces fichiers sont des archives d’installation compressées utilisées par diverses applications Mozilla, et contiennent le contenu d’une extension de navigateur Firefox.

friarfox gmail

« Le groupe de cybercriminels TA413 a modifié plusieurs sections de l’extension de navigateur open-source Gmail Notifier pour améliorer ses fonctionnalités malveillantes, dissimuler les alertes du navigateur aux victimes et masquer l’extension en tant qu’outil lié à Adobe Flash », ont déclaré les chercheurs.

Après l’installation de FriarFox, l’un des fichiers Javascript (tabletView.js) contacte également un serveur contrôlé par le pirate pour récupérer le framework Scanbox. Scanbox est un framework de reconnaissance basé sur PHP et JavaScript qui peut recueillir des informations sur les systèmes des victimes, il a été aperçu pour la première fois en 2014.

TA413 évolue constamment

TA413 a été associé aux intérêts de l’État chinois et est connu pour cibler la communauté tibétaine. Pas plus tard qu’en septembre, l’APT basé en Chine envoyait des e-mails d’hameçonnage qui distribuent un RAT de collecte de renseignements jamais vu auparavant surnommé Sepulcher.

« Bien qu’il ne soit pas sophistiqué de façon conventionnelle par rapport à d’autres groupes APT actifs, TA413 combine des outils open source modifiés, des frameworks de reconnaissance partagés, une variété de vecteurs de prestation et des tactiques d’ingénierie sociale très ciblées », ont déclaré les chercheurs.

Les chercheurs ont déclaré que cette dernière campagne montre que TA413 semble pivoter vers l’utilisation d’outils open source plus modifiés pour compromettre les victimes.

« Contrairement à de nombreux groupes APT, la divulgation publique des campagnes, des outils et de l’infrastructure n’a pas entraîné de changements opérationnels importants au TA413 », ont-ils déclaré. « Par conséquent, nous prévoyons la poursuite de l’utilisation d’un modus operandi similaire ciblant les membres de la diaspora tibétaine à l’avenir. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire