惡意的火狐擴展程序可以接管Gmail賬戶
最近發現了一種新型網絡攻擊,它通過使用一個名為FriarFox的惡意Mozilla Firefox瀏覽器擴展插件來控制受害者的Gmail帳戶。
研究人員說,在1月和2月觀察到的針對西藏的攻擊活動與TA413組織有關,TA413是一個高級持續威脅(APT)組織。
研究人員說,這種攻擊的幕后組織打算通過監視受害者的Firefox瀏覽器數據和Gmail信息來收集受害者的隱私。
安裝擴展插件后,FriarFox會允許網絡犯罪分子對用戶的Gmail賬戶和Firefox瀏覽器的數據進行各種各樣的控制。
例如,網絡犯罪分子能夠搜索、閱讀、標記、刪除、轉發和存檔郵件,接收Gmail通知,并使用受害者的賬戶來發送郵件。而且,根據用戶的Firefox瀏覽器的訪問權限,他們可以進行訪問所有網站的用戶數據,顯示通知,讀取和修改隱私設置,訪問瀏覽器標簽等操作。
Proofpoint周四表示:"盡管TA413組織的攻擊工具在技術上是有限的,但是TA413組織通過開發 FriarFox惡意瀏覽器擴展,進一步豐富了TA413組織的攻擊工具的種類。
網絡攻擊源于惡意電子郵件
此次攻擊源于幾個針對西藏政府組織的釣魚郵件(1月下旬首次發現)。研究人員發現其中一封郵件聲稱是來自 "西藏婦女協會",這是一個真實合法的組織。郵件的主題是 "西藏內部和西藏交流社區。"
研究人員注意到,這些郵件都是從一個TA413的目前已知的 Gmail賬戶發出的,該賬戶已經使用了很多年了。研究人員說,這封郵件冒充了達賴喇嘛辦事處的身份來進行詐騙攻擊。
這些郵件中都包含了一個惡意的URL,它冒充了一個YouTube的頁面(hxxps://you-tube[.]tv/)。實際上,這個鏈接會將收件人引導到一個偽造的Adobe Flash Player更新的登陸頁面,在這里受害者會下載惡意瀏覽器擴展。
偽造的Adobe Flash Player頁面
然后,這個惡意的 "更新 "頁面會執行幾個JavaScript文件,這些文件會對用戶的系統進行分析,并判斷是否能夠安裝惡意的FriarFox擴展,FriarFox能否安裝取決于很多條件。
研究人員說:"網絡攻擊者似乎是在針對Firefox瀏覽器的用戶進行攻擊,并在該瀏覽器中對Gmail的信息進行監視,用戶必須從Firefox瀏覽器訪問URL才能下載該瀏覽器擴展。此外,用戶必須使用該瀏覽器主動登錄Gmail賬戶,才能成功的安裝上惡意插件。"
如果瀏覽器和Gmail服務器有數據的傳輸, 瀏覽器會把Firefox用戶引導到FriarFox擴展的下載頁面(hxxps://you-tube[.]tv/download.php),并提示用戶可以從該網站下載插件。
在這里頁面會提醒用戶添加瀏覽器擴展(通過批準擴展的權限),該擴展聲稱是 "Flash的更新組件"。
犯罪分子還會利用各種技巧來對付那些沒有使用Firefox瀏覽器或沒有激活Gmail會話的用戶。
例如,一位沒有使用Gmail賬戶且沒有使用Firefox的用戶在訪問了假的Adobe Flash Player的登陸頁面后,他被重定向到了合法的YouTube登錄頁面。然后,該攻擊者會試圖訪問網站上正在使用的活動域的cookie。
研究人員表示,"在使用Gsuite賬號登錄用戶的YouTube賬戶的情況下,攻擊者可能會試圖利用這個域的cookie來訪問用戶的Gmail賬戶。 "。然而,"此時,該用戶并沒有被瀏覽器引導到FriarFox瀏覽器擴展下載的頁面"。
FriarFox瀏覽器擴展的惡意功能
研究人員表示,FriarFox似乎是基于一個名為 "Gmail Notifier(restartless)"的開源工具而開發的。這是一個免費的工具,我們可以在很多網站上找到,包括GitHub,Mozilla Firefox瀏覽器插件商店和QQ應用商店等。研究人員指出,這個惡意擴展插件也是以XPI文件的格式出現的。這個文件格式是Mozilla瀏覽器所使用的插件的專有格式。
研究人員說:"TA413網絡攻擊者修改了開源瀏覽器擴展Gmail Notifier中的幾部分代碼,這樣可以就可以實現它的攻擊功能,這個工具可以向受害者隱藏瀏覽器的警報信息,攻擊者還將該擴展程序偽裝成了Adobe Flash的相關工具" 。
在安裝FriarFox之后,其中一個Javascript文件(tabletView.js)還會主動從一個由攻擊者控制的服務器上來檢索Scanbox框架。Scanbox是一個基于PHP和JavaScript的偵察框架,它可以收集受害者系統的信息,它最早可以追溯到2014年。
TA413威脅組織在持續發展
TA413組織一直在損害中國國家利益,它的主要攻擊目標是藏族自治區。在9月份,這個總部位于中國的APT組織正在向目標發送魚叉式釣魚郵件,傳播一種從未見過的被稱為Sepulcher的RAT工具。
研究人員說:"雖然與其他的APT組織相比TA413并不復雜,但TA413使用了自己修改的開源工具、成熟的共享偵察框架、各種交付載體和非常有針對性的社會工程學策略。"
研究人員表示,這次最新的攻擊活動表明,TA413似乎正在使用更多的自己修改定制的開源工具來攻擊受害者。
他們說:"與許多APT組織不同,攻擊工具和基礎設施的暴露并沒有導致TA413組織的攻擊方式發生重大的變化,據此,我們預計未來他們會繼續使用類似的作案方式針對藏族成員進行網絡攻擊。"
本文翻譯自:https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如若轉載,請注明原文地址。
