最近发现了一种新型的 *** 攻击,它使用了一个名字FriarFox的恶意Mozilla Firefox浏览器扩展插件来控制受害者Gmail帐户。
研究人员表示,1月和2月观察到的 *** 攻击活动和TA413组织有关,TA413是高级持续威胁(APT)组织。
研究人员说,这种攻击的幕后组织打算通过监视受害者的Firefox和浏览器数据Gmail收集受害者隐私的信息。
扩展插件安装后,FriarFox允许 *** 犯罪分子对用户使用Gmail账户和Firefox各种控制浏览器的数据。
例如, *** 犯罪分子可以搜索、阅读、标记、删除、转发和归档电子邮件Gmail通知,并使用受害者的账户发送电子邮件。此外,根据用户Firefox他们可以访问所有网站的用户数据,显示通知,阅读和修改隐私设置,访问浏览器标签等。
Proofpoint周四表示:"尽管TA413技术上组织的攻击工具是有限的,但是TA413通过开发 组织FriarFox恶意浏览器扩展进一步丰富TA413组织攻击工具的类型。
*** 攻击源于恶意电子邮件
攻击起源于 *** *** 组织的几封钓鱼邮件(1月下旬首次发现)。研究人员发现其中一封邮件声称来自 " *** 妇女协会",这是一个真正合法的组织。电子邮件的主题是 " *** 内部和 *** 交流社区。"
研究人员注意到,这些这些电子邮件都来自一个TA413目前已知的 Gmail该账户已使用多年。研究人员说,这封电子邮件假装是 *** 喇嘛办公室的欺诈行为。
所有这些邮件都包含恶意URL,它冒充了一个YouTube的页面(hxxps://you-tube[.]tv/)。事实上,这个链接将引导收件人进入伪造Adobe Flash Player受害者将下载恶意浏览器扩展更新的登录页面。
伪造的Adobe Flash Player页面
然后,恶意 "更新 "几个页面将执行JavaScript这些文件将分析用户系统,判断是否可以恶意安装FriarFox扩展,FriarFox能否安装取决于许多条件。
研究人员说:" *** 攻击者似乎是针对的Firefox在浏览器中攻击浏览器用户并攻击Gmail监控信息,用户必须从Firefox浏览器访问URL才能下载该浏览器扩展。此外,用户必须使用该浏览器主动登录Gmail只有这样,才能成功地安装恶意插件。"
若浏览器和Gmail 浏览器将传输服务器的数据Firefox用户引导到FriarFox扩展下载页面(hxxps://you-tube[.]tv/download.php),并提示用户可以从该网站下载插件。
页面将提醒用户添加浏览器扩展(通过批准扩展的权限),声称是 "Flash的更新组件"。
犯罪分子也会用各种技巧来对付那些不使用的人Firefox或者没有激活浏览器Gmail会话用户。
比如一个没用Gmail账户未使用Firefox的用户在访问了假的Adobe Flash Player登录页面后,他被重定向合法YouTube登录页面。然后,攻击者将试图访问网站上正在使用的活动域cookie。
研究人员说,"在使用Gsuite帐户登录用户YouTube攻击者可能会试图使用该域cookie访问用户Gmail账户。 "。然而,"此时,用户没有被浏览器引导FriarFox浏览器扩展下载页面"。
FriarFox浏览器扩展的恶意功能
研究人员说,FriarFox似乎是基于一个名字叫 "Gmail Notifier(restartless)"开发开源工具。这是一个免费的工具,我们可以在许多网站上找到,包括GitHub,Mozilla Firefox浏览器插件商店和 *** 应用商店等。研究人员指出,恶意扩展插件也是如此XPI文件格式出现。这个文件格式是Mozilla浏览器使用的插件的专有格式。
研究人员说:"TA413 *** 攻击者修改了开源浏览器扩展Gmail Notifier该工具可以将浏览器的报警信息隐藏给受害者,攻击者还将扩展程序伪装成Adobe Flash的相关工具" 。
在安装FriarFox之后,其中一个Javascript文件(tabletView.js)它还将主动从攻击者控制的服务器上检索Scanbox框架。Scanbox是一个基于PHP和JavaScript的侦察框架,它可以收集受害者系统的信息,它最早可以追溯到2014年。
TA413可持续发展的威胁组织
TA413该组织一直在损害中国的国家利益,其主要攻击目标是藏族自治区。9月,总部位于中国APT该组织正在向目标发送鱼叉钓鱼邮件,传播一种从未见过的叫做鱼叉钓鱼邮件Sepulcher的RAT工具。
研究人员说:"尽管与其他人有关APT组织相比TA413但是TA413使用自己修改的开源工具、成熟的共享侦察框架、各种交付载体和非常有针对性的社会工程策略。"
研究人员说,最新的攻击表明,TA413似乎更多的开源工具是用来攻击受害者的。
他们说:"与许多APT不同组织的攻击工具和基础设施的暴露并没有导致TA413组织的攻击方式发生了重大变化。因此,我们预计他们将继续使用类似的犯罪 *** 来攻击藏族成员。"
本文翻译自:https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如转载,请注明原址。