恶意的火狐扩展程序可以接管 Gmail 账户

CathyHuang

最近发现了一种新型网络攻击，它通过使用一个名为 FriarFox 的恶意 Mozilla Firefox 浏览器扩展插件来控制受害者的 Gmail 帐户。

研究人员说，在 1 月和 2 月观察到的针对西藏的攻击活动与 TA413 组织有关，TA413 是一个高级持续威胁（APT）组织。

研究人员说，这种攻击的幕后组织打算通过监视受害者的 Firefox 浏览器数据和 Gmail 信息来收集受害者的隐私。

安装扩展插件后，FriarFox 会允许网络犯罪分子对用户的 Gmail 账户和 Firefox 浏览器的数据进行各种各样的控制。

例如，网络犯罪分子能够搜索、阅读、标记、删除、转发和存档邮件，接收 Gmail 通知，并使用受害者的账户来发送邮件。而且，根据用户的 Firefox 浏览器的访问权限，他们可以进行访问所有网站的用户数据，显示通知，读取和修改隐私设置，访问浏览器标签等操作。

Proofpoint 周四表示：" 尽管 TA413 组织的攻击工具在技术上是有限的，但是 TA413 组织通过开发 FriarFox 恶意浏览器扩展，进一步丰富了 TA413 组织的攻击工具的种类。

网络攻击源于恶意电子邮件

此次攻击源于几个针对西藏政府组织的钓鱼邮件（1 月下旬首次发现）。研究人员发现其中一封邮件声称是来自 " 西藏妇女协会 "，这是一个真实合法的组织。邮件的主题是 " 西藏内部和西藏交流社区。"

研究人员注意到，这些邮件都是从一个 TA413 的目前已知的 Gmail 账户发出的，该账户已经使用了很多年了。研究人员说，这封邮件冒充了达赖喇嘛办事处的身份来进行诈骗攻击。

这些邮件中都包含了一个恶意的 URL，它冒充了一个 YouTube 的页面（hxxps://you-tube [ . ] tv/）。实际上，这个链接会将收件人引导到一个伪造的 Adobe Flash Player 更新的登陆页面，在这里受害者会下载恶意浏览器扩展。

伪造的 Adobe Flash Player 页面

然后，这个恶意的 " 更新 " 页面会执行几个 JavaScript 文件，这些文件会对用户的系统进行分析，并判断是否能够安装恶意的 FriarFox 扩展，FriarFox 能否安装取决于很多条件。

研究人员说：" 网络攻击者似乎是在针对 Firefox 浏览器的用户进行攻击，并在该浏览器中对 Gmail 的信息进行监视，用户必须从 Firefox 浏览器访问 URL 才能下载该浏览器扩展。此外，用户必须使用该浏览器主动登录 Gmail 账户，才能成功的安装上恶意插件。"

如果浏览器和 Gmail 服务器有数据的传输， 浏览器会把 Firefox 用户引导到 FriarFox 扩展的下载页面（hxxps://you-tube [ . ] tv/download.php），并提示用户可以从该网站下载插件。

在这里页面会提醒用户添加浏览器扩展（通过批准扩展的权限），该扩展声称是 "Flash 的更新组件 "。

犯罪分子还会利用各种技巧来对付那些没有使用 Firefox 浏览器或没有激活 Gmail 会话的用户。

例如，一位没有使用 Gmail 账户且没有使用 Firefox 的用户在访问了假的 Adobe Flash Player 的登陆页面后，他被重定向到了合法的 YouTube 登录页面。然后，该攻击者会试图访问网站上正在使用的活动域的 cookie。

研究人员表示，" 在使用 Gsuite 账号登录用户的 YouTube 账户的情况下，攻击者可能会试图利用这个域的 cookie 来访问用户的 Gmail 账户。 "。然而，" 此时，该用户并没有被浏览器引导到 FriarFox 浏览器扩展下载的页面 "。

FriarFox 浏览器扩展的恶意功能

研究人员表示，FriarFox 似乎是基于一个名为 "Gmail Notifier（restartless）" 的开源工具而开发的。这是一个免费的工具，我们可以在很多网站上找到，包括 GitHub，Mozilla Firefox 浏览器插件商店和 QQ 应用商店等。研究人员指出，这个恶意扩展插件也是以 XPI 文件的格式出现的。这个文件格式是 Mozilla 浏览器所使用的插件的专有格式。

研究人员说："TA413 网络攻击者修改了开源浏览器扩展 Gmail Notifier 中的几部分代码，这样可以就可以实现它的攻击功能，这个工具可以向受害者隐藏浏览器的警报信息，攻击者还将该扩展程序伪装成了 Adobe Flash 的相关工具 " 。

在安装 FriarFox 之后，其中一个 Javascript 文件 ( tabletView.js ) 还会主动从一个由攻击者控制的服务器上来检索 Scanbox 框架。Scanbox 是一个基于 PHP 和 JavaScript 的侦察框架，它可以收集受害者系统的信息，它最早可以追溯到 2014 年。

TA413 威胁组织在持续发展

TA413 组织一直在损害中国国家利益，它的主要攻击目标是藏族自治区。在 9 月份，这个总部位于中国的 APT 组织正在向目标发送鱼叉式钓鱼邮件，传播一种从未见过的被称为 Sepulcher 的 RAT 工具。

研究人员说：" 虽然与其他的 APT 组织相比 TA413 并不复杂，但 TA413 使用了自己修改的开源工具、成熟的共享侦察框架、各种交付载体和非常有针对性的社会工程学策略。"

研究人员表示，这次最新的攻击活动表明，TA413 似乎正在使用更多的自己修改定制的开源工具来攻击受害者。

他们说：" 与许多 APT 组织不同，攻击工具和基础设施的暴露并没有导致 TA413 组织的攻击方式发生重大的变化，据此，我们预计未来他们会继续使用类似的作案方式针对藏族成员进行网络攻击。"