Gmail

Le groupe TA413 exploite la nouvelle extension de navigateur FriarFox pour compromettre les comptes Gmail d'organisations tibétaines à travers le monde

Share with your network!

Depuis mars 2020, l'équipe Proofpoint de recherche sur les cybermenaces suit des campagnes de phishing de faible envergure ciblant des organisations tibétaines à travers le monde. En janvier et février 2021, nous avons constaté la poursuite de ces campagnes, dans le cadre desquelles des cybercriminels soutenus par le Parti communiste chinois ont distribué une extension malveillante personnalisée du navigateur Mozilla Firefox afin d'accéder aux comptes Gmail des utilisateurs et d'en prendre le contrôle. Proofpoint a baptisé cette extension de navigateur malveillante « FriarFox ». Nous l'attribuons au groupe TA413, qui est également à l'origine de la distribution des malwares Scanbox et Sepulcher à des organisations tibétaines début 2021. Proofpoint avait déjà signalé le malware Sepulcher et ses liens avec les campagnes LuckyCat et ExileRAT ciblant des organisations tibétaines. Ce groupe cybercriminel, auteur de menaces persistantes avancées, semble être soutenu par l'État chinois et viser des objectifs stratégiques liés à l'espionnage et à la surveillance de dissidents civils, notamment la diaspora tibétaine. Cet article de blog propose une analyse détaillée de l'extension de navigateur FriarFox basée sur JavaScript, étudie l'utilisation du framework Scanbox par le groupe TA413 depuis juin 2020 et établit des liens avec des attaques par point d'eau (« watering hole ») ayant ciblé des organisations tibétaines en 2019. 

TA413 FriarFox Browser Extension January 2021

Distribution et exploitation

Fin janvier 2021, un email de phishing ciblant plusieurs organisations tibétaines a été détecté. Il prétendait provenir de l'Association des femmes tibétaines en exil et avait pour objet « Inside Tibet and from the Tibetan exile community » (Le Tibet et la communauté des exilés tibétains). L'email était envoyé à partir d'un compte Gmail utilisé depuis plusieurs années par le groupe TA413 et se faisant passer pour le Bureau du dalaï-lama en Inde. Il contenait l'URL malveillante suivante imitant le domaine YouTube :

  • hxxps://you-tube[.]tv/

Dès lors qu'un utilisateur cliquait sur l'URL, il était redirigé vers une fausse page de renvoi qui prétexte une mise à jour d'Adobe Flash Player et exécute plusieurs fichiers JavaScript (« JS ») afin d'établir le profil du système de l'utilisateur. Ces scripts déterminent s'il est possible de distribuer l'extension malveillante du navigateur Firefox (fichier « XPI ») baptisée « FriarFox » par Proofpoint. Les fichiers XPI sont des archives d'installation compressées qui sont utilisées par plusieurs applications Mozilla et qui intègrent le contenu d'une extension du navigateur Firefox. L'utilisation de pages de renvoi pour la redirection JS est une technique couramment employée dans les attaques de type « watering hole ». Dans ce cas précis, le domaine est contrôlé par les cybercriminels et la redirection est effectuée via une URL malveillante contenue dans un email de phishing.

 L'installation et la distribution de l'extension de navigateur FriarFox dépendent de plusieurs facteurs. Les cybercriminels semblent cibler des utilisateurs passant par le navigateur Firefox pour accéder à Gmail. L'utilisateur doit accéder à l'URL à partir du navigateur Firefox pour recevoir l'extension de navigateur. Il semble également que l'utilisateur doive se connecter à son compte Gmail depuis ce navigateur pour que le fichier XPI malveillant s'installe. Toutes les campagnes FriarFox détectées ne nécessitaient pas une session Gmail active pour que l'installation de l'extension de navigateur aboutisse. Par ailleurs, les analystes Proofpoint ne sont pas parvenus à identifier la fonctionnalité exigeant une session Gmail active. Ils n'ont donc pas pu déterminer avec certitude si une connexion Gmail constituait une condition préalable à l'installation de l'extension de navigateur du groupe TA413 ou si l'erreur d'installation pour cause de fichier corrompu qui en résultait était imputable à un autre facteur. Lors de ses recherches sur l'extension FriarFox, Proofpoint a réalisé des tests d'accès au domaine you-tube[.]tv pour les trois cas de figure suivants. Ces derniers tiennent compte du navigateur utilisé par l'utilisateur et de son état de connexion à Gmail.

  • L'utilisateur accède à l'URL you-tube[.]tv via un navigateur autre que Firefox et n'est pas connecté à Gmail

La page de renvoi Adobe Flash Player s'affiche temporairement, puis l'utilisateur est redirigé vers une page de connexion youtube[.]com légitime qui tente d'accéder à un cookie de domaine actif utilisé sur le site. Il est possible que les cybercriminels tentent d'exploiter ce cookie de domaine pour accéder au compte Gmail de l'utilisateur si ce dernier utilise l'authentification fédérée G Suite pour se connecter à son compte YouTube. L'extension de navigateur FriarFox n'est pas distribuée à cet utilisateur.

 

Graphical user interface, text, application, website

Description automatically generated 

Figure 1. Redirection YouTube tentant d'accéder au cookie de domaine  

  • L'utilisateur accède à l'URL you-tube[.]tv via le navigateur Firefox, mais n'est pas connecté à Gmail

 

hxxps://you-tube[.]tv/download.php

La page de renvoi Adobe Flash Player s'affiche et l'utilisateur est invité à autoriser l'installation d'un logiciel à partir du site. S'il accepte, le navigateur indique que le module complémentaire téléchargé à partir de you-tube[.]tv n'a pas pu être installé car il semble corrompu. L'extension de navigateur est distribuée à l'utilisateur, mais n'est pas installée. Aucune redirection n'est effectuée. 

  • Requête d'URL pour l'extension de navigateur FriarFox

Graphical user interface, application

Description automatically generated 

Figure 2. Page de renvoi you-tube[.]tv indiquant que l'installation de l'extension de navigateur FriarFox a échoué

  • L'utilisateur accède à l'URL you-tube[.]tv via le navigateur Firefox et est connecté à Gmail

L'extension FriarFox est distribuée à l'utilisateur à partir de la page hxxps://you-tube[.]tv/download.php. Celui-ci est ensuite invité à autoriser le téléchargement d'un logiciel à partir du site, puis à ajouter l'extension de navigateur « Flash update components » (Composants de mise à jour Flash) en approuvant les autorisations de l'extension. Si l'utilisateur clique sur Add (Ajouter), le navigateur le redirige vers la page Web inoffensive hxxps://Tibet[.]net et un message indiquant que l'extension de navigateur a été ajoutée à Firefox s'affiche en haut à droite de l'écran.

Graphical user interface, application, Teams

Description automatically generated 

Figure 3. Invite Mozilla Firefox demandant l'ajout de l'extension de navigateur malveillante FriarFox 

Graphical user interface

Description automatically generated 

Figure 4. Redirection du navigateur vers Tibet[.]net et confirmation de l'installation de l'extension de navigateur FriarFox

Une fois l'extension de navigateur FriarFox installée, les cybercriminels ont accès aux fonctionnalités du compte Gmail de l'utilisateur et aux données du navigateur Firefox répertoriées ci-dessous. En outre, FriarFox contacte un serveur de commande et de contrôle pour récupérer la charge virale Scanbox basée sur PHP et JS. Voici les fonctionnalités du compte Gmail et les données du navigateur Firefox auxquelles FriarFox tente d'accéder :

Accès à Gmail

  • Rechercher des emails
  • Archiver les emails
  • Recevoir des notifications Gmail
  • Lire les emails
  • Modifier les fonctionnalités d'alerte audio et visuelle du navigateur Firefox pour l'extension FriarFox
  • Étiqueter les emails
  • Marquer les emails comme spam
  • Supprimer des messages
  • Actualiser la boîte de réception
  • Transférer des emails
  • Effectuer des recherches de fonctions
  • Supprimer les messages de la corbeille Gmail
  • Envoyer des emails à partir d'un compte compromis

Accès au navigateur Firefox (sur la base des autorisations accordées)

  • Accéder aux données utilisateur pour tous les sites Web
  • Afficher les notifications
  • Consulter et modifier les paramètres de confidentialité
  • Accéder aux onglets du navigateur

  Graphical user interface, text, application, email

Description automatically generated 

Figure 05: FriarFox browser extension required permissions. 

Analysis of the FriarFox Browser Extension 

The FriarFox browser extension appears to be largely based on an open source tool named “Gmail Notifier (restartless)”. This is a free tool available on Github, the Mozilla Firefox Browser ADD-ONS store, and the QQ App store among other locations. It allows users to receive notifications and perform certain Gmail actions on up to five Gmail accounts that are actively logged in simultaneously. There are also versions of this tool that exist for Google Chrome and Opera, but currently FriarFox has been the only browser instance identified targeting FireFox browsers as an XPI file. In recent campaigns identified in February 2021, browser extension delivery domains have prompted users to “Switch to the Firefox Browser” when accessing malicious domains using the Google Chrome Browser. Further details on the tool’s capabilities can be found below: 

Graphical user interface, application

Description automatically generated 

Figure 6. Outil open source « Gmail Notifier (restartless) » dans la boutique de modules complémentaires du navigateur Firefox 

  • https://addons.mozilla.org/fr/firefox/addon/gmail-notifier-restartless/ 
  • (Vidéo de démonstration de Gmail Notifier) https://www.youtube.com/watch?v=5Z2huN_GNkA 

Le groupe cybercriminel TA413 a modifié plusieurs parties de l'extension de navigateur open source Gmail Notifier pour lui ajouter des fonctionnalités malveillantes, dissimuler les alertes de navigateur aux victimes et maquiller l'extension en outil lié à Adobe Flash. Les cybercriminels dissimulent l'existence de FriarFox et leur utilisation de l'outil en modifiant les éléments suivants :

  • L'icône de fichier PNG apparaît sous forme d'icône Adobe Flash dans le menu de l'extension de navigateur, remplaçant l'icône Gmail de l'outil Gmail Notifier standard.
  • La description des métadonnées contribue à la dissimulation de l'extension derrière une mise à jour Flash en fournissant la description qui s'affiche dans le menu de l'extension de navigateur.
  • Toutes les alertes audio et visuelles du navigateur sont configurées de sorte à ne pas alerter les utilisateurs actifs une fois l'installation effectuée. Ainsi, les victimes ne soupçonnent pas l'existence de FriarFox ni son utilisation par les cybercriminels.

L'extension de navigateur Gmail Notifier légitime comprend approximativement 17 fichiers JS indépendants et des fichiers de configuration supplémentaires permettant de consulter les emails, de les archiver, de les marquer comme spam, de les étiqueter et de les supprimer, ainsi que d'accéder à la boîte de réception d'un maximum de cinq comptes à la fois. L'extension de navigateur FriarFox conserve les principales fonctionnalités de cet outil en continuant à tirer parti bon nombre de ces scripts sous leur forme d'origine, mais étend ces fonctionnalités en ajoutant trois fichiers JavaScript malveillants et en augmentant le nombre maximum de comptes qu'il est possible de surveiller.