Розширення браузера Firefox використовували для зламу Gмайл
Організація Proofpoint виявила кампанію, пов'язану з китайським угрупованням TA413. За даними дослідників, хакерська діяльність була активна з січня по лютий 2021 року. Атакували тибетські організації по всьому світу, використовуючи шкідливе розширення для Firefox, яке викрадало дані Gмайл і Firefox, а потім завантажувало вірус у заражені системи.
читать дальше
Дослідники розповідають, що зловмисники атакували тибетські організації за допомогою цільових фішингових листів, які заманювали жертв на підставні сайти, де їм пропонували встановити фейкове оновлення для Flash, яке нібито необхідне для перегляду контенту.
Що робив вірус
Сам сайт, на який заходили жертви, містив код, який розділяв користувачів на групи – з активним сеансом на поштовому сервісі Gмайл та без нього. Хакерів цікавила саме перша група, якій надалі пропонували розширення Flash update components, яке насправді являло собою варіацію легітимного розширення Gмайл notifier (restartless), і було здатне зловживати наступними функціями:
У Gмайл
Шукати електронні листи
Читати електронні листи
Архівувати електронні листи
Отримувати повідомлення G....
Змінювати функції звукових і візуальних оповіщень в браузері Firefox
Позначати електронні листи
Оновлювати папку "Вхідні"
Пересилати листів
Позначати електронні листи як спам
Видаляти повідомлення
Видалити повідомлення з кошика
Надсилати пошту зі зламаної пошти
Firefox (залежно від наданих прав):
Доступ до даних користувача для всіх сайтів
Показ повідомлень
Доступ до перегляду та зміни налаштувань конфіденційності
Доступ до вкладок браузера
Однак на цьому атака не закінчувалася. Розширення також завантажувало і встановлювало на заражений комп'ютер вірус ScanBox. Це старий шкідливий інструмент на базі PHP і JavaScript, який вже багато разів використовувався в атаках китайських хакерів. Останній зареєстрований випадок використання ScanBox датується 2019 роком, коли аналітики Recorded Future помітили атаки на відвідувачів пакистанських і тибетських сайтів.
ScanBox може відстежувати відвідувачів певних сайтів, зчитувати натискання клавіш на клавіатурі комп'ютера, рух і натискання клавіш миші, а також красти призначені для користувача дані, які можуть бути використані в майбутніх атаках.