根据网络安全公司Proofpoint近日发布的一份调查报告,一个代号为TA413的组织近日利用Firefox恶意扩展窃取Gmail和Firefox浏览器数据,进而感染的设备下载恶意软件。Proofpoint表示,黑客组织使用鱼叉式网络钓鱼电子邮件引诱用户点击并提示他们安装Flash更新以查看网站内容。Proofpoint团队表示,虽然该扩展名为“FlashUpdateComponent”,但它实际上是添加了额外恶意代码的合法版本“Gmailnotifier(restartless)”。根据研究小组的说法,此代码可以在受感染的浏览器上滥用以下功能:●搜索邮件●存档邮件●接收Gmail通知●阅读邮件●更改Firefox浏览器的声音和视觉警告●标记邮件●转换将邮件标记为垃圾邮件●删除消息●刷新收件箱●转发邮件●执行功能搜索●从Gmail垃圾桶中删除邮件●从被盗帐户发送邮件●从Firefox访问所有网站的用户数据●提取Firefox的屏幕通知●阅读和修改Firefox的隐私设置●访问浏览器选项卡但攻击并没有就此停止。Proofpoint表示,该扩展还会在受感染的系统上下载并安装ScanBox恶意软件。该恶意软件是一种基于PHP和JavaScript的侦察框架,是中国网络间谍组织之前在攻击中看到的一种旧工具。
