Plusieurs organisations tibétaines ont été ciblées dans une campagne de cyberespionnage par un groupe de piratage soutenu par l’État utilisant une extension Firefox malveillante conçue pour détourner les comptes Gmail et infecter les victimes avec des logiciels malveillants.

Les attaques coordonnées par le groupe APT lié à la Chine TA413 ont commencé en janvier et se sont poursuivies tout au long de février, selon un rapport de Proofpoint publié jeudi.

Les pirates de l’État chinois ont également infecté les victimes avec le cadre de reconnaissance des logiciels malveillants Scanbox, qui leur a permis de récolter les données de leurs cibles et d’enregistrer leurs frappes au clavier.

« Scanbox a été utilisé dans de nombreuses campagnes depuis 2014 pour cibler la diaspora tibétaine ainsi que d’autres minorités ethniques souvent ciblées par des groupes alignés sur les intérêts de l’État chinois », a déclaré Proofpoint.

« L’outil est capable de suivre les visiteurs sur des sites Web spécifiques, d’effectuer des enregistrements de frappe et de collecter des données utilisateur qui peuvent être exploitées lors de futures tentatives d’intrusion. »

L’extension de navigateur malveillante FriarFox

Les e-mails de phishing livrés par les attaquants TA413 aux boîtes aux lettres de leurs cibles les ont redirigés vers les Youtube[.]la télé domaine qui affiche une fausse page de destination Adobe Flash Player Update.

Les scripts de profilage JavaScript exécutés à partir de ce domaine inviteraient automatiquement les cibles à installer un module complémentaire malveillant nommé FriarFox si elles utilisaient le navigateur Web Firefox et se connectaient à leur compte Gmail.

Si la victime potentielle utilisait un autre navigateur Web, elle serait redirigée vers la page de connexion YouTube légitime. S’ils utilisaient Firefox mais n’étaient pas connectés à un compte Gmail, ils seraient invités à ajouter un module complémentaire FriarFox corrompu au navigateur, ce qui échouerait à s’installer.

L’extension malveillante FriarFox est basée sur l’open-source Gmail Notifier (sans redémarrage) Module complémentaire Firefox en modifiant son icône et sa description de métadonnées pour imiter une mise à jour Flash …