恶意 Mozilla Firefox 扩展程序允许 Gmail 接管

sugar 2021-02-26
专栏 - 资讯 发布于 2021-02-26 11:54:59 阅读 215 评论 0

恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据。

新发现的网络攻击通过使用名为FriarFox的自定义恶意Mozilla Firefox浏览器扩展程序,控制了受害者的Gmail帐户。

研究人员说,在1月和2月观察到的威胁运动针对的是藏族组织,并与TA413有关,TA413是已知的高级持续威胁(APT)组织,研究人员认为该组织与中国政府保持一致。

研究人员说,这次攻击的幕后组织旨在通过窥探受害者的Firefox浏览器数据和Gmail邮件来收集受害者的信息。

安装后,FriarFox为网络犯罪分子提供了对用户的Gmail帐户和Firefox浏览器数据的各种访问类型。

例如,网络罪犯可以搜索,阅读,标记,删除,转发和存档电子邮件,接收Gmail通知以及从受感染帐户发送邮件。而且,有了Firefox浏览器的访问权限,他们就可以访问所有网站的用户数据,显示通知,阅读和修改隐私设置以及访问浏览器选项卡。

Proofpoint表示:“ TA413的军械库中引入了FriarFox浏览器扩展,这进一步多样化了,尽管在技术上限制了工具种类,” Proofpoint于周四表示。“使用浏览器扩展程序以用户的私人Gmail帐户为目标,再结合Scanbox恶意软件的交付,证明了TA413在针对持不同政见者社区时具有可塑性。”

网络攻击:阻止恶意电子邮件

攻击源于网络钓鱼电子邮件(首次在1月下旬被发现),针对的是几个西藏组织。研究人员发现的一封电子邮件据称来自“藏族妇女协会”,该组织是印度的合法组织。该电子邮件的主题是:“在西藏境内和来自西藏流亡社区的人。”

研究人员指出,这些电子邮件是通过已知的TA413 Gmail帐户发送的,该帐户已经使用了几年。研究人员说,这封电子邮件冒充印度Dalai Lama。

该电子邮件包含一个恶意URL,该URL伪装了一个YouTube页面(hxxps:// you-tube [.] tv /)。实际上,此链接将接收者带到了一个假的以Adobe Flash Player更新为主题的登录页面,该页面开始下载恶意浏览器扩展的过程。

伪造的Adobe Flash Player页面和FriarFox下载

然后,恶意的“更新”页面将执行多个JavaScript文件,这些文件对用户的系统进行配置,并确定是否提供恶意的FriarFox扩展;FriarFox的安装取决于几个条件。

研究人员说:“威胁者似乎是针对使用Firefox浏览器并在该浏览器中使用Gmail的用户。” “用户必须从Firefox浏览器访问URL才能接收浏览器扩展。此外,看来用户必须使用该浏览器主动登录到Gmail帐户,才能成功安装恶意XPI [FriarFox]文件。”

拥有活跃Gmail会话的Firefox用户将立即获得FriarFox扩展名(来自hxxps:// you-tube [.] tv / download.php),并带有提示,允许从该站点下载软件。

提示他们添加浏览器扩展程序(通过批准扩展程序的权限),该扩展程序声称是“ Flash更新组件”。

但是,威胁参与者还利用各种技巧来针对未使用Firefox浏览器和/或没有有效Gmail会话的用户。

例如,在访问伪造的Adobe Flash Player登陆页面后,没有活跃Gmail会话且未使用Firefox的一位用户被重定向到合法的YouTube登录页面。然后,攻击者试图访问该站点上正在使用的活动域cookie。

在这种情况下,“在使用GSuite联合登录会话登录用户的YouTube帐户的情况下,参与者可能会尝试利用此域cookie来访问用户的Gmail帐户,”研究人员说。但是,“没有为该用户提供FriarFox浏览器扩展。”

FriarFox浏览器扩展:恶意功能

研究人员说,FriarFox似乎基于名为“ Gmail Notifier(restartless)”的开源工具。这是一个免费工具,可从GitHub,Mozilla Firefox浏览器附加组件商店和QQ App商店等各个位置使用。研究人员指出,该恶意扩展也以XPI文件的形式出现-这些文件是各种Mozilla应用程序使用的压缩安装档案,并且包含Firefox浏览器扩展的内容。

Friarfox恶意firefox浏览器扩展

FriarFox攻击媒介

研究人员说:“ TA413威胁者改变了开源浏览器扩展Gmail通知程序的几个部分,以增强其恶意功能,向受害者隐藏浏览器警报,并将该扩展伪装成与Adobe Flash相关的工具。”

安装FriarFox之后,其中一个Javascript文件(tabletView.js)也与actor控制的服务器联系,以检索Scanbox框架。Scanbox是一个基于PHP和JavaScript的侦察框架,可以收集有关受害者系统的信息,该信息可追溯到2014年。

TA413威胁组:不断发展

TA413与中国国家利益相关,并以针对藏族社区而闻名。就在9月,总部位于中国的APT向组织发送鱼叉式网络钓鱼电子邮件,该电子邮件分发了一种前所未有的情报收集RAT,称为Sepulcher。

研究人员说:“与其他活跃的APT小组相比,TA413虽不具备传统上的复杂性,但却结合了改进的开源工具,陈旧的共享侦察框架,各种交付载体和非常有针对性的社会工程策略。”

研究人员说,这场最新的运动表明,TA413似乎正在转向使用更多修改后的开源工具来危害受害者。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!