惡意的火狐擴展程序可以接管Gmail賬戶
最近發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)攻擊,它通過使用一個名為FriarFox的惡意Mozilla Firefox瀏覽器擴展插件來控制受害者的Gmail帳戶。
研究人員說,在1月和2月觀察到的針對西藏的攻擊活動與TA413組織有關(guān),TA413是一個高級持續(xù)威脅(APT)組織。
研究人員說,這種攻擊的幕后組織打算通過監(jiān)視受害者的Firefox瀏覽器數(shù)據(jù)和Gmail信息來收集受害者的隱私。
安裝擴展插件后,F(xiàn)riarFox會允許網(wǎng)絡(luò)犯罪分子對用戶的Gmail賬戶和Firefox瀏覽器的數(shù)據(jù)進行各種各樣的控制。
例如,網(wǎng)絡(luò)犯罪分子能夠搜索、閱讀、標記、刪除、轉(zhuǎn)發(fā)和存檔郵件,接收Gmail通知,并使用受害者的賬戶來發(fā)送郵件。而且,根據(jù)用戶的Firefox瀏覽器的訪問權(quán)限,他們可以進行訪問所有網(wǎng)站的用戶數(shù)據(jù),顯示通知,讀取和修改隱私設(shè)置,訪問瀏覽器標簽等操作。
Proofpoint周四表示:"盡管TA413組織的攻擊工具在技術(shù)上是有限的,但是TA413組織通過開發(fā) FriarFox惡意瀏覽器擴展,進一步豐富了TA413組織的攻擊工具的種類。
網(wǎng)絡(luò)攻擊源于惡意電子郵件
此次攻擊源于幾個針對西藏政府組織的釣魚郵件(1月下旬首次發(fā)現(xiàn))。研究人員發(fā)現(xiàn)其中一封郵件聲稱是來自 "西藏婦女協(xié)會",這是一個真實合法的組織。郵件的主題是 "西藏內(nèi)部和西藏交流社區(qū)。"
研究人員注意到,這些郵件都是從一個TA413的目前已知的 Gmail賬戶發(fā)出的,該賬戶已經(jīng)使用了很多年了。研究人員說,這封郵件冒充了達賴喇嘛辦事處的身份來進行詐騙攻擊。
這些郵件中都包含了一個惡意的URL,它冒充了一個YouTube的頁面(hxxps://you-tube[.]tv/)。實際上,這個鏈接會將收件人引導(dǎo)到一個偽造的Adobe Flash Player更新的登陸頁面,在這里受害者會下載惡意瀏覽器擴展。
偽造的Adobe Flash Player頁面
然后,這個惡意的 "更新 "頁面會執(zhí)行幾個JavaScript文件,這些文件會對用戶的系統(tǒng)進行分析,并判斷是否能夠安裝惡意的FriarFox擴展,F(xiàn)riarFox能否安裝取決于很多條件。
研究人員說:"網(wǎng)絡(luò)攻擊者似乎是在針對Firefox瀏覽器的用戶進行攻擊,并在該瀏覽器中對Gmail的信息進行監(jiān)視,用戶必須從Firefox瀏覽器訪問URL才能下載該瀏覽器擴展。此外,用戶必須使用該瀏覽器主動登錄Gmail賬戶,才能成功的安裝上惡意插件。"
如果瀏覽器和Gmail服務(wù)器有數(shù)據(jù)的傳輸, 瀏覽器會把Firefox用戶引導(dǎo)到FriarFox擴展的下載頁面(hxxps://you-tube[.]tv/download.php),并提示用戶可以從該網(wǎng)站下載插件。
在這里頁面會提醒用戶添加瀏覽器擴展(通過批準擴展的權(quán)限),該擴展聲稱是 "Flash的更新組件"。
犯罪分子還會利用各種技巧來對付那些沒有使用Firefox瀏覽器或沒有激活Gmail會話的用戶。
例如,一位沒有使用Gmail賬戶且沒有使用Firefox的用戶在訪問了假的Adobe Flash Player的登陸頁面后,他被重定向到了合法的YouTube登錄頁面。然后,該攻擊者會試圖訪問網(wǎng)站上正在使用的活動域的cookie。
研究人員表示,"在使用Gsuite賬號登錄用戶的YouTube賬戶的情況下,攻擊者可能會試圖利用這個域的cookie來訪問用戶的Gmail賬戶。 "。然而,"此時,該用戶并沒有被瀏覽器引導(dǎo)到FriarFox瀏覽器擴展下載的頁面"。
FriarFox瀏覽器擴展的惡意功能
研究人員表示,F(xiàn)riarFox似乎是基于一個名為 "Gmail Notifier(restartless)"的開源工具而開發(fā)的。這是一個免費的工具,我們可以在很多網(wǎng)站上找到,包括GitHub,Mozilla Firefox瀏覽器插件商店和QQ應(yīng)用商店等。研究人員指出,這個惡意擴展插件也是以XPI文件的格式出現(xiàn)的。這個文件格式是Mozilla瀏覽器所使用的插件的專有格式。
研究人員說:"TA413網(wǎng)絡(luò)攻擊者修改了開源瀏覽器擴展Gmail Notifier中的幾部分代碼,這樣可以就可以實現(xiàn)它的攻擊功能,這個工具可以向受害者隱藏瀏覽器的警報信息,攻擊者還將該擴展程序偽裝成了Adobe Flash的相關(guān)工具" 。
在安裝FriarFox之后,其中一個Javascript文件(tabletView.js)還會主動從一個由攻擊者控制的服務(wù)器上來檢索Scanbox框架。Scanbox是一個基于PHP和JavaScript的偵察框架,它可以收集受害者系統(tǒng)的信息,它最早可以追溯到2014年。
TA413威脅組織在持續(xù)發(fā)展
TA413組織一直在損害中國國家利益,它的主要攻擊目標是藏族自治區(qū)。在9月份,這個總部位于中國的APT組織正在向目標發(fā)送魚叉式釣魚郵件,傳播一種從未見過的被稱為Sepulcher的RAT工具。
研究人員說:"雖然與其他的APT組織相比TA413并不復(fù)雜,但TA413使用了自己修改的開源工具、成熟的共享偵察框架、各種交付載體和非常有針對性的社會工程學策略。"
研究人員表示,這次最新的攻擊活動表明,TA413似乎正在使用更多的自己修改定制的開源工具來攻擊受害者。
他們說:"與許多APT組織不同,攻擊工具和基礎(chǔ)設(shè)施的暴露并沒有導(dǎo)致TA413組織的攻擊方式發(fā)生重大的變化,據(jù)此,我們預(yù)計未來他們會繼續(xù)使用類似的作案方式針對藏族成員進行網(wǎng)絡(luò)攻擊。"
本文翻譯自:https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如若轉(zhuǎn)載,請注明原文地址。
