最近发现了一种新型网络攻击,它通过使用一个名为FriarFox的恶意Mozilla Firefox浏览器扩展插件来控制受害者的Gmail帐户。
研究人员说,在1月和2月观察到的针对西藏的攻击活动与TA413组织有关,TA413是一个高级持续威胁(APT)组织。
研究人员说,这种攻击的幕后组织打算通过监视受害者的Firefox浏览器数据和Gmail信息来收集受害者的隐私。
安装扩展插件后,FriarFox会允许网络犯罪分子对用户的Gmail账户和Firefox浏览器的数据进行各种各样的控制。
例如,网络犯罪分子能够搜索、阅读、标记、删除、转发和存档邮件,接收Gmail通知,并使用受害者的账户来发送邮件。而且,根据用户的Firefox浏览器的访问权限,他们可以进行访问所有网站的用户数据,显示通知,读取和修改隐私设置,访问浏览器标签等操作。
Proofpoint周四表示:"尽管TA413组织的攻击工具在技术上是有限的,但是TA413组织通过开发 FriarFox恶意浏览器扩展,进一步丰富了TA413组织的攻击工具的种类。
网络攻击源于恶意电子邮件
此次攻击源于几个针对西藏政府组织的钓鱼邮件(1月下旬首次发现)。研究人员发现其中一封邮件声称是来自 "西藏妇女协会",这是一个真实合法的组织。邮件的主题是 "西藏内部和西藏交流社区。"
研究人员注意到,这些邮件都是从一个TA413的目前已知的 Gmail账户发出的,该账户已经使用了很多年了。
研究人员说,这封邮件冒充了达赖喇嘛办事处的身份来进行诈骗攻击。
这些邮件中都包含了一个恶意的URL,它冒充了一个YouTube的页面(hxxps://you-tube[.]tv/)。实际上,这个链接会将收件人引导到一个伪造的Adobe Flash Player更新的登陆页面,在这里受害者会下载恶意浏览器扩展。
伪造的Adobe Flash Player页面
然后,这个恶意的 "更新 "页面会执行几个JavaScript文件,这些文件会对用户的系统进行分析,并判断是否能够安装恶意的FriarFox扩展,FriarFox能否安装取决于很多条件。
研究人员说:"网络攻击者似乎是在针对Firefox浏览器的用户进行攻击,并在该浏览器中对Gmail的信息进行监视,用户必须从Firefox浏览器访问URL才能下载该浏览器扩展。此外,用户必须使用该浏览器主动登录Gmail账户,才能成功的安装上恶意插件。"
如果浏览器和Gmail服务器有数据的传输, 浏览器会把Firefox用户引导到FriarFox扩展的下载页面(hxxps://you-tube[.]tv/download.php),并提示用户可以从该网站下载插件。
在这里页面会提醒用户添加浏览器扩展(通过批准扩展的权限),该扩展声称是 "Flash的更新组件"。
犯罪分子还会利用各种技巧来对付那些没有使用Firefox浏览器或没有激活Gmail会话的用户。
例如,一位没有使用Gmail账户且没有使用Firefox的用户在访问了假的Adobe Flash Player的登陆页面后,他被重定向到了合法的YouTube登录页面。然后,该攻击者会试图访问网站上正在使用的活动域的cookie。
研究人员表示,"在使用Gsuite账号登录用户的YouTube账户的情况下,攻击者可能会试图利用这个域的cookie来访问用户的Gmail账户。"。然而,"此时,该用户并没有被浏览器引导到FriarFox浏览器扩展下载的页面"。
FriarFox浏览器扩展的恶意功能
研究人员表示,FriarFox似乎是基于一个名为 "Gmail Notifier(restartless)"的开源工具而开发的。这是一个免费的工具,我们可以在很多网站上找到,包括GitHub,Mozilla Firefox浏览器插件商店和QQ应用商店等。研究人员指出,这个恶意扩展插件也是以XPI文件的格式出现的。这个文件格式是Mozilla浏览器所使用的插件的专有格式。
研究人员说:"TA413网络攻击者修改了开源浏览器扩展Gmail Notifier中的几部分代码,这样可以就可以实现它的攻击功能,这个工具可以向受害者隐藏浏览器的警报信息,攻击者还将该扩展程序伪装成了Adobe Flash的相关工具" 。
在安装FriarFox之后,其中一个Javascript文件(tabletView.js)还会主动从一个由攻击者控制的服务器上来检索Scanbox框架。Scanbox是一个基于PHP和JavaScript的侦察框架,它可以收集受害者系统的信息,它最早可以追溯到2014年。
TA413威胁组织在持续发展
TA413组织一直在损害中国国家利益,它的主要攻击目标是藏族自治区。在9月份,这个总部位于中国的APT组织正在向目标发送鱼叉式钓鱼邮件,传播一种从未见过的被称为Sepulcher的RAT工具。
研究人员说:"虽然与其他的APT组织相比TA413并不复杂,但TA413使用了自己修改的开源工具、成熟的共享侦察框架、各种交付载体和非常有针对性的社会工程学策略。"
研究人员表示,这次最新的攻击活动表明,TA413似乎正在使用更多的自己修改定制的开源工具来攻击受害者。
他们说:"与许多APT组织不同,攻击工具和基础设施的暴露并没有导致TA413组织的攻击方式发生重大的变化,据此,我们预计未来他们会继续使用类似的作案方式针对藏族成员进行网络攻击。"
END
领取专属 10元无门槛券
私享最新 技术干货