恶意Mozilla Firefox扩展程序允许Gmail接管

新发现的网络攻击通过使用名为FriarFox的自定义恶意Mozilla Firefox浏览器扩展程序，控制了受害者的Gmail帐户。

研究人员说，在1月和2月观察到的威胁运动针对的是藏族组织，并与TA413有关，TA413是一个已知的高级持续威胁（APT）组织，研究人员认为该组织与中国政府保持一致。

研究人员说，此次攻击的幕后组织旨在通过窥探受害者的Firefox浏览器数据和Gmail邮件来收集受害者的信息。

安装后，FriarFox为网络罪犯提供了对用户的Gmail帐户和Firefox浏览器数据的各种访问类型。

例如，网络罪犯可以搜索，阅读，标记，删除，转发和存档电子邮件，接收Gmail通知以及从受感染帐户发送邮件。而且，有了Firefox浏览器访问权限，他们就可以访问所有网站的用户数据，显示通知，阅读和修改隐私设置以及访问浏览器选项卡。

Proofpoint表示：“ TA413的军火库中加入了FriarFox浏览器扩展，这进一步多样化了，尽管在技术上限制了工具种类，” “使用浏览器扩展程序以用户的私人Gmail帐户为目标，再结合Scanbox恶意软件的交付，证明了TA413在针对持不同政见者社区时具有可塑性。”

攻击源于网络钓鱼电子邮件（首次在1月下旬检测到），针对几个藏族组织。研究人员发现的一封电子邮件据称是来自“藏族妇女协会”的，该组织是印度的合法团体。该电子邮件的主题是：“在西藏境内和来自西藏流亡社区的人们。”

研究人员指出，这些电子邮件是通过一个已知的TA413 Gmail帐户发送的，该帐户已经使用了几年。研究人员说，这封电子邮件冒充了印度达赖喇嘛Hol下局。

该电子邮件包含一个恶意URL，该URL伪装了一个YouTube页面（hxxps：// you-tube [。] tv /）。实际上，此链接将收件人带到了一个假的以Adobe Flash Player更新为主题的登录页面，该页面开始下载恶意浏览器扩展的过程。

然后，恶意的“更新”页面将执行多个JavaScript文件，这些文件对用户的系统进行配置，并确定是否提供恶意的FriarFox扩展； FriarFox的安装取决于几个条件。

研究人员说：“威胁者似乎是针对使用Firefox浏览器并在该浏览器中使用Gmail的用户，” “用户必须从Firefox浏览器访问URL才能接收浏览器扩展。此外，看来用户必须使用该浏览器主动登录到Gmail帐户，才能成功安装恶意XPI [FriarFox]文件。”

拥有有效Gmail会话的Firefox用户将立即获得FriarFox扩展名（来自hxxps：// you-tube [。] tv / download.php），并带有提示，允许从该站点下载软件。

系统会提示他们添加浏览器扩展程序（通过批准扩展程序的权限），该扩展程序称为“ Flash更新组件”。

但是，威胁参与者还利用各种技巧来针对未使用Firefox浏览器和/或没有有效Gmail会话的用户。

例如，在访问虚假的Adobe Flash Player登陆页面后，​​没有活跃的Gmail会话且未使用Firefox的一位用户被重定向到合法的YouTube登录页面。然后，攻击者试图访问该站点上正在使用的活动域cookie。

在这种情况下，“在使用GSuite联合登录会话登录用户的YouTube帐户的情况下，参与者可能会尝试利用此域cookie访问用户的Gmail帐户，”研究人员说。但是，“没有为该用户提供FriarFox浏览器扩展。”

研究人员说，FriarFox似乎基于名为“ Gmail Notifier（restartless）”的开源工具。这是一个免费工具，可从GitHub，Mozilla Firefox浏览器附加组件商店和QQ App商店等各个位置使用。研究人员指出，恶意扩展也以XPI文件的形式出现-这些文件是各种Mozilla应用程序使用的压缩安装档案，并包含Firefox浏览器扩展的内容。

研究人员说：“ TA413威胁者改变了开源浏览器扩展Gmail通知程序的几个部分，以增强其恶意功能，向受害者隐藏浏览器警报，并将该扩展伪装成与Adobe Flash相关的工具，”研究人员说。

安装FriarFox之后，其中一个Javascript文件（tabletView.js）也与actor控制的服务器联系，以检索Scanbox框架。 Scanbox是一个基于PHP和JavaScript的侦察框架，可以收集有关受害者系统的信息，该信息可追溯到2014年。

TA413与中国国家利益相关，并以针对藏族社区而闻名。就在9月，总部位于中国的APT向组织发送鱼叉式网络钓鱼电子邮件，该电子邮件分发了一种前所未有的情报收集RAT，称为Sepulcher。

研究人员说：“与其他活跃的APT小组相比，TA413虽不具备传统上的复杂性，但却结合了改进的开源工具，陈旧的共享侦察框架，各种交付载体和非常有针对性的社交工程策略。”

研究人员说，这一最新活动表明TA413似乎正在转向使用更多改良的开源工具来折衷受害者。 他们说：“与许多APT组织不同，公开披露活动，工具和基础设施并没有导致TA413的重大运营变化。” “因此，我们预计将来会继续使用类似的作法，针对藏族侨民。”