Дослідники розповідають, що зловмисники атакували тибетські організації за допомогою цільових фішингових листів, які заманювали жертв на підставні сайти, де їм пропонували встановити фейкове оновлення для Flash, яке нібито необхідне для перегляду контенту.

Що робив вірус

Сам сайт, на який заходили жертви, містив код, який розділяв користувачів на групи – з активним сеансом на поштовому сервісі Gмайл та без нього. Хакерів цікавила саме перша група, якій надалі пропонували розширення Flash update components, яке насправді являло собою варіацію легітимного розширення Gмайл notifier (restartless), і було здатне зловживати наступними функціями:

У Gмайл

Шукати електронні листи
Читати електронні листи
Архівувати електронні листи
Отримувати повідомлення G....
Змінювати функції звукових і візуальних оповіщень в браузері Firefox
Позначати електронні листи
Оновлювати папку "Вхідні"
Пересилати листів
Позначати електронні листи як спам
Видаляти повідомлення
Видалити повідомлення з кошика
Надсилати пошту зі зламаної пошти

Firefox (залежно від наданих прав):

Доступ до даних користувача для всіх сайтів
Показ повідомлень
Доступ до перегляду та зміни налаштувань конфіденційності
Доступ до вкладок браузера

Однак на цьому атака не закінчувалася. Розширення також завантажувало і встановлювало на заражений комп'ютер вірус ScanBox. Це старий шкідливий інструмент на базі PHP і JavaScript, який вже багато разів використовувався в атаках китайських хакерів. Останній зареєстрований випадок використання ScanBox датується 2019 роком, коли аналітики Recorded Future помітили атаки на відвідувачів пакистанських і тибетських сайтів.

ScanBox може відстежувати відвідувачів певних сайтів, зчитувати натискання клавіш на клавіатурі комп'ютера, рух і натискання клавіш миші, а також красти призначені для користувача дані, які можуть бути використані в майбутніх атаках.