恶意 Mozilla Firefox 扩展程序允许 Gmail 接管

恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据。

新发现的网络攻击通过使用名为FriarFox的自定义恶意Mozilla Firefox浏览器扩展程序，控制了受害者的Gmail帐户。

研究人员说，在1月和2月观察到的威胁运动针对的是藏族组织，并与TA413有关，TA413是已知的高级持续威胁（APT）组织，研究人员认为该组织与中国政府保持一致。

研究人员说，这次攻击的幕后组织旨在通过窥探受害者的Firefox浏览器数据和Gmail邮件来收集受害者的信息。

安装后，FriarFox为网络犯罪分子提供了对用户的Gmail帐户和Firefox浏览器数据的各种访问类型。

例如，网络罪犯可以搜索，阅读，标记，删除，转发和存档电子邮件，接收Gmail通知以及从受感染帐户发送邮件。而且，有了Firefox浏览器的访问权限，他们就可以访问所有网站的用户数据，显示通知，阅读和修改隐私设置以及访问浏览器选项卡。

Proofpoint表示：“ TA413的军械库中引入了FriarFox浏览器扩展，这进一步多样化了，尽管在技术上限制了工具种类，” Proofpoint于周四表示。“使用浏览器扩展程序以用户的私人Gmail帐户为目标，再结合Scanbox恶意软件的交付，证明了TA413在针对持不同政见者社区时具有可塑性。”

网络攻击：阻止恶意电子邮件

攻击源于网络钓鱼电子邮件（首次在1月下旬被发现），针对的是几个西藏组织。研究人员发现的一封电子邮件据称来自“藏族妇女协会”，该组织是印度的合法组织。该电子邮件的主题是：“在西藏境内和来自西藏流亡社区的人。”

研究人员指出，这些电子邮件是通过已知的TA413 Gmail帐户发送的，该帐户已经使用了几年。研究人员说，这封电子邮件冒充印度Dalai Lama。

该电子邮件包含一个恶意URL，该URL伪装了一个YouTube页面（hxxps：// you-tube [.] tv /）。实际上，此链接将接收者带到了一个假的以Adobe Flash Player更新为主题的登录页面，该页面开始下载恶意浏览器扩展的过程。

伪造的Adobe Flash Player页面和FriarFox下载

然后，恶意的“更新”页面将执行多个JavaScript文件，这些文件对用户的系统进行配置，并确定是否提供恶意的FriarFox扩展；FriarFox的安装取决于几个条件。

研究人员说：“威胁者似乎是针对使用Firefox浏览器并在该浏览器中使用Gmail的用户。” “用户必须从Firefox浏览器访问URL才能接收浏览器扩展。此外，看来用户必须使用该浏览器主动登录到Gmail帐户，才能成功安装恶意XPI [FriarFox]文件。”

拥有活跃Gmail会话的Firefox用户将立即获得FriarFox扩展名（来自hxxps：// you-tube [.] tv / download.php），并带有提示，允许从该站点下载软件。

提示他们添加浏览器扩展程序（通过批准扩展程序的权限），该扩展程序声称是“ Flash更新组件”。

但是，威胁参与者还利用各种技巧来针对未使用Firefox浏览器和/或没有有效Gmail会话的用户。

例如，在访问伪造的Adobe Flash Player登陆页面后，没有活跃Gmail会话且未使用Firefox的一位用户被重定向到合法的YouTube登录页面。然后，攻击者试图访问该站点上正在使用的活动域cookie。

在这种情况下，“在使用GSuite联合登录会话登录用户的YouTube帐户的情况下，参与者可能会尝试利用此域cookie来访问用户的Gmail帐户，”研究人员说。但是，“没有为该用户提供FriarFox浏览器扩展。”

FriarFox浏览器扩展：恶意功能

研究人员说，FriarFox似乎基于名为“ Gmail Notifier（restartless）”的开源工具。这是一个免费工具，可从GitHub，Mozilla Firefox浏览器附加组件商店和QQ App商店等各个位置使用。研究人员指出，该恶意扩展也以XPI文件的形式出现-这些文件是各种Mozilla应用程序使用的压缩安装档案，并且包含Firefox浏览器扩展的内容。

FriarFox攻击媒介

研究人员说：“ TA413威胁者改变了开源浏览器扩展Gmail通知程序的几个部分，以增强其恶意功能，向受害者隐藏浏览器警报，并将该扩展伪装成与Adobe Flash相关的工具。”

安装FriarFox之后，其中一个Javascript文件（tabletView.js）也与actor控制的服务器联系，以检索Scanbox框架。Scanbox是一个基于PHP和JavaScript的侦察框架，可以收集有关受害者系统的信息，该信息可追溯到2014年。

TA413威胁组：不断发展

TA413与中国国家利益相关，并以针对藏族社区而闻名。就在9月，总部位于中国的APT向组织发送鱼叉式网络钓鱼电子邮件，该电子邮件分发了一种前所未有的情报收集RAT，称为Sepulcher。

研究人员说：“与其他活跃的APT小组相比，TA413虽不具备传统上的复杂性，但却结合了改进的开源工具，陈旧的共享侦察框架，各种交付载体和非常有针对性的社会工程策略。”

研究人员说，这场最新的运动表明，TA413似乎正在转向使用更多修改后的开源工具来危害受害者。