[[388879]]

最近發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)攻擊，它通過使用一個(gè)名為FriarFox的惡意Mozilla Firefox瀏覽器擴(kuò)展插件來控制受害者的Gmail帳戶。

研究人員說，在1月和2月觀察到的針對(duì)西藏的攻擊活動(dòng)與TA413組織有關(guān)，TA413是一個(gè)高級(jí)持續(xù)威脅(APT)組織。

研究人員說，這種攻擊的幕后組織打算通過監(jiān)視受害者的Firefox瀏覽器數(shù)據(jù)和Gmail信息來收集受害者的隱私。

安裝擴(kuò)展插件后，F(xiàn)riarFox會(huì)允許網(wǎng)絡(luò)犯罪分子對(duì)用戶的Gmail賬戶和Firefox瀏覽器的數(shù)據(jù)進(jìn)行各種各樣的控制。

例如，網(wǎng)絡(luò)犯罪分子能夠搜索、閱讀、標(biāo)記、刪除、轉(zhuǎn)發(fā)和存檔郵件，接收Gmail通知，并使用受害者的賬戶來發(fā)送郵件。而且，根據(jù)用戶的Firefox瀏覽器的訪問權(quán)限，他們可以進(jìn)行訪問所有網(wǎng)站的用戶數(shù)據(jù)，顯示通知，讀取和修改隱私設(shè)置，訪問瀏覽器標(biāo)簽等操作。

Proofpoint周四表示："盡管TA413組織的攻擊工具在技術(shù)上是有限的，但是TA413組織通過開發(fā) FriarFox惡意瀏覽器擴(kuò)展，進(jìn)一步豐富了TA413組織的攻擊工具的種類。

網(wǎng)絡(luò)攻擊源于惡意電子郵件

此次攻擊源于幾個(gè)針對(duì)西藏政府組織的釣魚郵件(1月下旬首次發(fā)現(xiàn))。研究人員發(fā)現(xiàn)其中一封郵件聲稱是來自 "西藏婦女協(xié)會(huì)"，這是一個(gè)真實(shí)合法的組織。郵件的主題是 "西藏內(nèi)部和西藏交流社區(qū)。"

研究人員注意到，這些郵件都是從一個(gè)TA413的目前已知的 Gmail賬戶發(fā)出的，該賬戶已經(jīng)使用了很多年了。研究人員說，這封郵件冒充了達(dá)賴?yán)镛k事處的身份來進(jìn)行詐騙攻擊。

這些郵件中都包含了一個(gè)惡意的URL，它冒充了一個(gè)YouTube的頁面(hxxps://you-tube[.]tv/)。實(shí)際上，這個(gè)鏈接會(huì)將收件人引導(dǎo)到一個(gè)偽造的Adobe Flash Player更新的登陸頁面，在這里受害者會(huì)下載惡意瀏覽器擴(kuò)展。

偽造的Adobe Flash Player頁面

然后，這個(gè)惡意的 "更新 "頁面會(huì)執(zhí)行幾個(gè)JavaScript文件，這些文件會(huì)對(duì)用戶的系統(tǒng)進(jìn)行分析，并判斷是否能夠安裝惡意的FriarFox擴(kuò)展，F(xiàn)riarFox能否安裝取決于很多條件。

研究人員說："網(wǎng)絡(luò)攻擊者似乎是在針對(duì)Firefox瀏覽器的用戶進(jìn)行攻擊，并在該瀏覽器中對(duì)Gmail的信息進(jìn)行監(jiān)視，用戶必須從Firefox瀏覽器訪問URL才能下載該瀏覽器擴(kuò)展。此外，用戶必須使用該瀏覽器主動(dòng)登錄Gmail賬戶，才能成功的安裝上惡意插件。"

如果瀏覽器和Gmail服務(wù)器有數(shù)據(jù)的傳輸， 瀏覽器會(huì)把Firefox用戶引導(dǎo)到FriarFox擴(kuò)展的下載頁面(hxxps://you-tube[.]tv/download.php)，并提示用戶可以從該網(wǎng)站下載插件。

在這里頁面會(huì)提醒用戶添加瀏覽器擴(kuò)展(通過批準(zhǔn)擴(kuò)展的權(quán)限)，該擴(kuò)展聲稱是 "Flash的更新組件"。

犯罪分子還會(huì)利用各種技巧來對(duì)付那些沒有使用Firefox瀏覽器或沒有激活Gmail會(huì)話的用戶。

例如，一位沒有使用Gmail賬戶且沒有使用Firefox的用戶在訪問了假的Adobe Flash Player的登陸頁面后，他被重定向到了合法的YouTube登錄頁面。然后，該攻擊者會(huì)試圖訪問網(wǎng)站上正在使用的活動(dòng)域的cookie。

研究人員表示，"在使用Gsuite賬號(hào)登錄用戶的YouTube賬戶的情況下，攻擊者可能會(huì)試圖利用這個(gè)域的cookie來訪問用戶的Gmail賬戶。 "。然而，"此時(shí)，該用戶并沒有被瀏覽器引導(dǎo)到FriarFox瀏覽器擴(kuò)展下載的頁面"。

FriarFox瀏覽器擴(kuò)展的惡意功能

研究人員表示，F(xiàn)riarFox似乎是基于一個(gè)名為 "Gmail Notifier(restartless)"的開源工具而開發(fā)的。這是一個(gè)免費(fèi)的工具，我們可以在很多網(wǎng)站上找到，包括GitHub，Mozilla Firefox瀏覽器插件商店和QQ應(yīng)用商店等。研究人員指出，這個(gè)惡意擴(kuò)展插件也是以XPI文件的格式出現(xiàn)的。這個(gè)文件格式是Mozilla瀏覽器所使用的插件的專有格式。

研究人員說："TA413網(wǎng)絡(luò)攻擊者修改了開源瀏覽器擴(kuò)展Gmail Notifier中的幾部分代碼，這樣可以就可以實(shí)現(xiàn)它的攻擊功能，這個(gè)工具可以向受害者隱藏瀏覽器的警報(bào)信息，攻擊者還將該擴(kuò)展程序偽裝成了Adobe Flash的相關(guān)工具" 。

在安裝FriarFox之后，其中一個(gè)Javascript文件(tabletView.js)還會(huì)主動(dòng)從一個(gè)由攻擊者控制的服務(wù)器上來檢索Scanbox框架。Scanbox是一個(gè)基于PHP和JavaScript的偵察框架，它可以收集受害者系統(tǒng)的信息，它最早可以追溯到2014年。

TA413威脅組織在持續(xù)發(fā)展

TA413組織一直在損害中國國家利益，它的主要攻擊目標(biāo)是藏族自治區(qū)。在9月份，這個(gè)總部位于中國的APT組織正在向目標(biāo)發(fā)送魚叉式釣魚郵件，傳播一種從未見過的被稱為Sepulcher的RAT工具。

研究人員說："雖然與其他的APT組織相比TA413并不復(fù)雜，但TA413使用了自己修改的開源工具、成熟的共享偵察框架、各種交付載體和非常有針對(duì)性的社會(huì)工程學(xué)策略。"

研究人員表示，這次最新的攻擊活動(dòng)表明，TA413似乎正在使用更多的自己修改定制的開源工具來攻擊受害者。

他們說："與許多APT組織不同，攻擊工具和基礎(chǔ)設(shè)施的暴露并沒有導(dǎo)致TA413組織的攻擊方式發(fā)生重大的變化，據(jù)此，我們預(yù)計(jì)未來他們會(huì)繼續(xù)使用類似的作案方式針對(duì)藏族成員進(jìn)行網(wǎng)絡(luò)攻擊。"

本文翻譯自：https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如若轉(zhuǎn)載，請(qǐng)注明原文地址。