Identificada una extensión maliciosa para atacar cuentas de Gmail

  • Cloud

Google gmail

El equipo de Investigación y Detección ha detectado una extensión maliciosa para Mozilla Firefox para atacar cuentas de Gmail. La compañía ha adjudicado la autoría al grupo APT TA413, que habría dirigido ataques de phishing de bajo volumen contra organizaciones tibetanas entre enero y febrero.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar

Ciberseguridad orientada al futuro Leer

Según Proofpoint, el grupo APT TA413, conocido por su alineación con intereses con el Partido Comunista Chino en temas de espionaje y vigilancia de disidentes civiles habría dirigido durante los dos primeros meses del año ataques de phishing en bajo volumen contra organizaciones tibetanas en todo el mundo.

La firma de seguridad explica que TA413, vinculado también a campañas previas de malware como Scanbox y Sepulcher, habría utilizado en esta ocasión una extensión maliciosa para Mozilla Firefox, a la que ha denominado FriarFox, que facilitaba el acceso y el control de cuentas de usuarios en Gmail.       

El complejo método de entrega con FriarFox garantizaba a los atacantes acceder a las cuentas de Gmail de sus víctimas, algo especialmente preocupante si se tiene en cuenta que el correo electrónico es uno de los principales vectores de ataque y uno de los activos de mayor valor como fuente de información sobre personas. Una vez que los ciberdelincuentes tenían acceso a la cuenta comprometida, podían restablecer la contraseña y enviar emails desde esa dirección con la firma del usuario, accediendo también a su lista de contactos, lo que resultaba extremadamente convincente.

En esta ocasión TA413 ha alterado distintas secciones de la extensión Notifier de Gmail a fin de incrementar sus capacidades dañinas, ocultar las alertas del navegador a los usuarios y enmascarar la extensión como si se tratase de una herramienta relacionada con Adobe Flash. Así, los atacantes han conseguido esconder la extensión maliciosa.

Como explica Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección, en los últimos seis meses ha sido muy común que los grupos APT intentasen acceder a a cuentas de correo en cloud. "El uso malicioso de extensiones de navegador no es nada nuevo, pero se trata de una superficie de ataque a menudo olvidada por muchas empresas. Nos ha sorprendido ver a TA413 emplear este método en este caso para espiar a disidentes tibetanos, pero también vemos muy probable que otros ciberdelincuentes utilicen esta misma técnica en sus ataques contra organizaciones del sector público o privado en todo el mundo”, subraya.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos