FriarFox, une nouvelle extension par mail frauduleuse qui cible les Tibétains dans le monde

0

Les chercheurs en sécurité Proofpoint ont identifié récemment une nouvelle extension malveillante du navigateur Mozilla Firefox basée sur le JavaScript TA413. Nommée « FriarFox », elle est essentiellement utilisée pour compromettre les comptes Gmail de diverses organisations tibétaines dans le monde.

cidimage003.png@01D70B97.98514870

L’opérateur TA413 modifie les outils de surveillance open-source de Gmail pour leurs campagnes malveillantes. TA413 a également été observé utilisant Scanbox et Sepulcher lors de campagnes menées en janvier 2021. Les campagnes FriarFox de janvier 2021 ont des attributions communes avec les campagnes historiques Exile Rat et Lucky Cat ainsi que des TTP (tactiques, techniques et procédures) semblables avec les attaques par point d’eau (watering hole) Scanbox de 2019 qui ont ciblé la diaspora tibétaine.

Ces six derniers mois ont démontré que les acteurs de l’APT (Advanced Persistent Threat) ont une soif insatiable d’accéder aux comptes d’email dans le cloud. Nous avons observé une diversification ainsi qu’une montée en gamme des techniques d’accès notamment avec l’attaque de la chaîne d’approvisionnement de SolarWinds et  avec ce nouveau plugin de navigateur FriarFox. Les plugins de navigateur malveillants ne sont pas nouveaux, ils constituent cependant une surface d’attaque bien souvent oubliée des entreprises. Il est plus que surprenant de voir un acteur de l’APT associé aux intérêts de l’Etat Chinois utiliser cette méthode. 

Bien que nous ayons vu APT TA413 utiliser ce nouvel outil pour accéder à des comptes Gmail et espionner les populations tibétaines vulnérables, il est très probable que d’autres acteurs de la menace exploitent cette même technique pour cibler des organisations des secteurs public et privé du monde entier. La méthode de livraison complexe de l’outil, que nous appelons l’extension de navigateur FriarFox, accorde à cet acteur APT un accès presque total aux comptes Gmail de ses victimes. Presque tous les autres mots de passe de comptes peuvent être réinitialisés une fois que les attaquants ont accès au compte d’email de quelqu’un. Les acteurs de la menace peuvent également se saisir de comptes d’email compromis pour adresser leurs messages en utilisant la signature électronique et la liste de contacts de l’utilisateur, ce qui rend ces messages extrêmement convaincants.

About Author

Sherrod DeGrippo

Sherrod DeGrippo est directrice des menaces emergentes chez Proofpoint. Sa mission consiste à diriger une équipe mondiale de chercheurs qui s'engagent à fournir les solutions de renseignement les plus complètes, les plus évolutives et les plus adaptées sur les menaces actuelles. Son équipe d'experts est constamment à l'affût de nouvelles menaces grâce à l'analyse des logiciels malveillants, ce qui permet de mieux comprendre le paysage actuel des cyberattaques et permet d'aider à protéger les réseaux essentiels à la mission contre les menaces connues ou potentiellement malveillantes. Avec plus de 15 ans d'expérience en sécurité de l'information et en environnement de démarrage chez Nexum, Symantec et Secureworks, Sherrod est une conférencière régulière lors d'événements de haut niveau tels que RSA et Black Hat et contribue régulièrement au blog Proofpoint Threat Insight.

Leave A Reply