根据 *** 安全公司Proofpoint 最近发布的调查报告是 TA413 的组织最近使用恶意 Firefox 插件,窃取 Gmail 和 Firefox 浏览器数据,然后在感染设备下载恶意软件。Proofpoint 说黑客组织用鱼叉钓鱼邮件引诱用户点击,并提示他们安装 Flash 更新查看网站内容。
Proofpoint 团队表示,虽然扩展被称为“Flash更新组件”,但实际上是“Gmail notifier (restartless)”合法版本,并添加了额外的恶意代码。根据研究团队的说法,该代码可以滥用以下功能:
● 搜索邮件
● 归档邮件
● 接收 Gmail 通知
● 阅读邮件
● 改变 Firefox 浏览器声音和视觉警告功能
● 给邮件贴标签
● 将邮件标记为垃圾邮件
● 删除信息
● 刷新收件箱
● 转发邮件
● 执行功能搜索
● 从 Gmail 在垃圾桶中删除邮件
● 从被盗账户发邮件
● 从 Firefox 访问所有网站的用户数据
● 提取 Firefox 屏幕通知
● 阅读和修改 Firefox 隐私设置
● 访问浏览器标签
但是攻击并没有停止。Proofpoint 表示扩展仍在感染系统上下载并安装 ScanBox 恶意软件。这种恶意软件是基于 PHP 和 JavaScript 侦察框架是中国 *** 间谍组织之前攻击中看到的旧工具。
