惡意 Mozilla Firefox 擴展程序允許 Gmail 接管

惡意擴展程序FriarFox會偵聽Firefox和Gmail相關數據。

新發現的網絡攻擊通過使用名為FriarFox的自定義惡意Mozilla Firefox瀏覽器擴展程序，控制了受害者的Gmail帳戶。

研究人員說，在1月和2月觀察到的威脅運動針對的是藏族組織，并與TA413有關，TA413是已知的高級持續威脅（APT）組織，研究人員認為該組織與中國政府保持一致。

研究人員說，這次攻擊的幕后組織旨在通過窺探受害者的Firefox瀏覽器數據和Gmail郵件來收集受害者的信息。

安裝后，FriarFox為網絡犯罪分子提供了對用戶的Gmail帳戶和Firefox瀏覽器數據的各種訪問類型。

例如，網絡罪犯可以搜索，閱讀，標記，刪除，轉發和存檔電子郵件，接收Gmail通知以及從受感染帳戶發送郵件。而且，有了Firefox瀏覽器的訪問權限，他們就可以訪問所有網站的用戶數據，顯示通知，閱讀和修改隱私設置以及訪問瀏覽器選項卡。

Proofpoint表示：“ TA413的軍械庫中引入了FriarFox瀏覽器擴展，這進一步多樣化了，盡管在技術上限制了工具種類，” Proofpoint于周四表示。“使用瀏覽器擴展程序以用戶的私人Gmail帳戶為目標，再結合Scanbox惡意軟件的交付，證明了TA413在針對持不同政見者社區時具有可塑性。”

網絡攻擊：阻止惡意電子郵件

攻擊源于網絡釣魚電子郵件（首次在1月下旬被發現），針對的是幾個西藏組織。研究人員發現的一封電子郵件據稱來自“藏族婦女協會”，該組織是印度的合法組織。該電子郵件的主題是：“在西藏境內和來自西藏流亡社區的人。”

研究人員指出，這些電子郵件是通過已知的TA413 Gmail帳戶發送的，該帳戶已經使用了幾年。研究人員說，這封電子郵件冒充印度Dalai Lama。

該電子郵件包含一個惡意URL，該URL偽裝了一個YouTube頁面（hxxps：// you-tube [.] tv /）。實際上，此鏈接將接收者帶到了一個假的以Adobe Flash Player更新為主題的登錄頁面，該頁面開始下載惡意瀏覽器擴展的過程。

偽造的Adobe Flash Player頁面和FriarFox下載

然后，惡意的“更新”頁面將執行多個JavaScript文件，這些文件對用戶的系統進行配置，并確定是否提供惡意的FriarFox擴展；FriarFox的安裝取決于幾個條件。

研究人員說：“威脅者似乎是針對使用Firefox瀏覽器并在該瀏覽器中使用Gmail的用戶。” “用戶必須從Firefox瀏覽器訪問URL才能接收瀏覽器擴展。此外，看來用戶必須使用該瀏覽器主動登錄到Gmail帳戶，才能成功安裝惡意XPI [FriarFox]文件。”

擁有活躍Gmail會話的Firefox用戶將立即獲得FriarFox擴展名（來自hxxps：// you-tube [.] tv / download.php），并帶有提示，允許從該站點下載軟件。

提示他們添加瀏覽器擴展程序（通過批準擴展程序的權限），該擴展程序聲稱是“ Flash更新組件”。

但是，威脅參與者還利用各種技巧來針對未使用Firefox瀏覽器和/或沒有有效Gmail會話的用戶。

例如，在訪問偽造的Adobe Flash Player登陸頁面后，沒有活躍Gmail會話且未使用Firefox的一位用戶被重定向到合法的YouTube登錄頁面。然后，攻擊者試圖訪問該站點上正在使用的活動域cookie。

在這種情況下，“在使用GSuite聯合登錄會話登錄用戶的YouTube帳戶的情況下，參與者可能會嘗試利用此域cookie來訪問用戶的Gmail帳戶，”研究人員說。但是，“沒有為該用戶提供FriarFox瀏覽器擴展。”

FriarFox瀏覽器擴展：惡意功能

研究人員說，FriarFox似乎基于名為“ Gmail Notifier（restartless）”的開源工具。這是一個免費工具，可從GitHub，Mozilla Firefox瀏覽器附加組件商店和QQ App商店等各個位置使用。研究人員指出，該惡意擴展也以XPI文件的形式出現-這些文件是各種Mozilla應用程序使用的壓縮安裝檔案，并且包含Firefox瀏覽器擴展的內容。

FriarFox攻擊媒介

研究人員說：“ TA413威脅者改變了開源瀏覽器擴展Gmail通知程序的幾個部分，以增強其惡意功能，向受害者隱藏瀏覽器警報，并將該擴展偽裝成與Adobe Flash相關的工具。”

安裝FriarFox之后，其中一個Javascript文件（tabletView.js）也與actor控制的服務器聯系，以檢索Scanbox框架。Scanbox是一個基于PHP和JavaScript的偵察框架，可以收集有關受害者系統的信息，該信息可追溯到2014年。

TA413威脅組：不斷發展

TA413與中國國家利益相關，并以針對藏族社區而聞名。就在9月，總部位于中國的APT向組織發送魚叉式網絡釣魚電子郵件，該電子郵件分發了一種前所未有的情報收集RAT，稱為Sepulcher。

研究人員說：“與其他活躍的APT小組相比，TA413雖不具備傳統上的復雜性，但卻結合了改進的開源工具，陳舊的共享偵察框架，各種交付載體和非常有針對性的社會工程策略。”

研究人員說，這場最新的運動表明，TA413似乎正在轉向使用更多修改后的開源工具來危害受害者。