最近发现了一种新型网络攻击,它使用名为FriarFox的恶意MozillaFirefox浏览器扩展来控制受害者的Gmail帐户。研究人员表示,1月和2月观察到的针对西藏的攻击与TA413组织有关,这是一个高级持续威胁(APT)组织。研究人员表示,攻击背后的组织打算通过监控Firefox浏览器数据和Gmail消息来收集受害者的隐私。安装扩展程序后,FriarFox允许网络犯罪分子对用户的Gmail帐户和Firefox浏览器数据进行各种控制。例如,网络罪犯能够搜索、阅读、标记、删除、转发和存档电子邮件,接收Gmail通知,并使用受害者的帐户发送电子邮件。此外,根据用户Firefox浏览器的访问权限,他们可以访问所有网站上的用户数据、显示通知、阅读和修改隐私设置、访问浏览器选项卡等。Proofpoint周四表示:“虽然TA413组织的攻击工具在技术上受到限制,但TA413组织通过开发FriarFox恶意浏览器扩展,进一步丰富了TA413组织的攻击工具种类。此次网络攻击源自恶意邮件。”攻击源于多封针对西藏政府组织的钓鱼邮件(1月下旬首次发现)。研究人员发现一封自称来自“西藏妇女协会”的电子邮件,该协会是一个真实合法的组织。邮件主题为“西藏妇女协会”。内部和西藏交流社区。“研究人员注意到,这些邮件均来自TA413目前已知的Gmail账户,该账户已使用多年。研究人员表示,这些邮件冒充达赖喇嘛办公室进行钓鱼攻击。这些邮件包含一个伪装成YouTube页面的恶意URL(hxxps://you-tube[.]tv/)。实际上,此链接会将收件人引导至虚假的Adob??eFlashPlayer更新登陆页面,受害者会在该页面下载恶意浏览器extension.FakeAdob??eFlashPlayerpage该恶意“更新”页面然后执行多个JavaScript文件,对用户系统进行破坏分析判断恶意FriarFox扩展是否可以安装FriarFox是否可以安装取决于很多条件。安装FriarFox后,其中一个Javascript文件(tabletView.js)还会主动从攻击者控制的服务器检索Scanbox帧。Scanbox是一个基于PHP和JavaScript的侦察框架,用于收集受害系统的信息,可追溯到2014年。TA413威胁组织不断发展TA413组织一直在损害中国的国家利益,其主要目标是西藏自治区。9月,总部位于中国的APT组织向目标发送鱼叉式网络钓鱼电子邮件,以传播一种前所未见的名为Sepulcher的RAT。“虽然TA413与其他APT组织相比并不复杂,但TA413使用自己修改的开源工具、成熟的共享侦察框架、各种交付工具和非常有针对性的社会工程策略,”研究人员说。根据研究人员的说法,这次最新的活动表明TA413似乎正在使用更多自己定制修改的开源工具来攻击受害者。他们表示:“与许多APT组织不同,攻击工具和基础设施的暴露并没有导致TA413组织的攻击方式发生重大变化。基于此,我们预计他们将继续使用类似的作案手法进行网络攻击。”日后针对藏族成员的攻击。”本文翻译自:https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如有转载请注明原文地址。
