最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 恶意的火狐扩展程序可以接管Gmail账户

    最近发现了一种新型网络攻击,它通过使用一个名为FriarFox的恶意Mozilla Firefox浏览器扩展插件来控制受害者的Gmail帐户。

    研究人员说,在1月和2月观察到的针对西藏的攻击活动与TA413组织有关,TA413是一个高级持续威胁(APT)组织。

    研究人员说,这种攻击的幕后组织打算通过监视受害者的Firefox浏览器数据和Gmail信息来收集受害者的隐私。

    安装扩展插件后,FriarFox会允许网络犯罪分子对用户的Gmail账户和Firefox浏览器的数据进行各种各样的控制。

    例如,网络犯罪分子能够搜索、阅读、标记、删除、转发和存档邮件,接收Gmail通知,并使用受害者的账户来发送邮件。而且,根据用户的Firefox浏览器的访问权限,他们可以进行访问所有网站的用户数据,显示通知,读取和修改隐私设置,访问浏览器标签等操作。

    Proofpoint周四表示:"尽管TA413组织的攻击工具在技术上是有限的,但是TA413组织通过开发 FriarFox恶意浏览器扩展,进一步丰富了TA413组织的攻击工具的种类。

    网络攻击源于恶意电子邮件

    此次攻击源于几个针对西藏政府组织的钓鱼邮件(1月下旬首次发现)。研究人员发现其中一封邮件声称是来自 "西藏妇女协会",这是一个真实合法的组织。邮件的主题是 "西藏内部和西藏交流社区。"

    研究人员注意到,这些邮件都是从一个TA413的目前已知的 Gmail账户发出的,该账户已经使用了很多年了。研究人员说,这封邮件冒充了达赖喇嘛办事处的身份来进行诈骗攻击。

    这些邮件中都包含了一个恶意的URL,它冒充了一个YouTube的页面(hxxps://you-tube[.]tv/)。实际上,这个链接会将收件人引导到一个伪造的Adobe Flash Player更新的登陆页面,在这里受害者会下载恶意浏览器扩展。

    伪造的Adobe Flash Player页面

    然后,这个恶意的 "更新 "页面会执行几个JavaScript文件,这些文件会对用户的系统进行分析,并判断是否能够安装恶意的FriarFox扩展,FriarFox能否安装取决于很多条件。

    研究人员说:"网络攻击者似乎是在针对Firefox浏览器的用户进行攻击,并在该浏览器中对Gmail的信息进行监视,用户必须从Firefox浏览器访问URL才能下载该浏览器扩展。此外,用户必须使用该浏览器主动登录Gmail账户,才能成功的安装上恶意插件。"

    如果浏览器和Gmail服务器有数据的传输, 浏览器会把Firefox用户引导到FriarFox扩展的下载页面(hxxps://you-tube[.]tv/download.php),并提示用户可以从该网站下载插件。

    在这里页面会提醒用户添加浏览器扩展(通过批准扩展的权限),该扩展声称是 "Flash的更新组件"。

    犯罪分子还会利用各种技巧来对付那些没有使用Firefox浏览器或没有激活Gmail会话的用户。

    例如,一位没有使用Gmail账户且没有使用Firefox的用户在访问了假的Adobe Flash Player的登陆页面后,他被重定向到了合法的YouTube登录页面。然后,该攻击者会试图访问网站上正在使用的活动域的cookie。

    研究人员表示,"在使用Gsuite账号登录用户的YouTube账户的情况下,攻击者可能会试图利用这个域的cookie来访问用户的Gmail账户。 "。然而,"此时,该用户并没有被浏览器引导到FriarFox浏览器扩展下载的页面"。

    FriarFox浏览器扩展的恶意功能

    研究人员表示,FriarFox似乎是基于一个名为 "Gmail Notifier(restartless)"的开源工具而开发的。这是一个免费的工具,我们可以在很多网站上找到,包括GitHub,Mozilla Firefox浏览器插件商店和QQ应用商店等。研究人员指出,这个恶意扩展插件也是以XPI文件的格式出现的。这个文件格式是Mozilla浏览器所使用的插件的专有格式。

    研究人员说:"TA413网络攻击者修改了开源浏览器扩展Gmail Notifier中的几部分代码,这样可以就可以实现它的攻击功能,这个工具可以向受害者隐藏浏览器的警报信息,攻击者还将该扩展程序伪装成了Adobe Flash的相关工具" 。

    在安装FriarFox之后,其中一个Javascript文件(tabletView.js)还会主动从一个由攻击者控制的服务器上来检索Scanbox框架。Scanbox是一个基于PHP和JavaScript的侦察框架,它可以收集受害者系统的信息,它最早可以追溯到2014年。

    TA413威胁组织在持续发展

    TA413组织一直在损害中国国家利益,它的主要攻击目标是藏族自治区。在9月份,这个总部位于中国的APT组织正在向目标发送鱼叉式钓鱼邮件,传播一种从未见过的被称为Sepulcher的RAT工具。

    研究人员说:"虽然与其他的APT组织相比TA413并不复杂,但TA413使用了自己修改的开源工具、成熟的共享侦察框架、各种交付载体和非常有针对性的社会工程学策略。"

    研究人员表示,这次最新的攻击活动表明,TA413似乎正在使用更多的自己修改定制的开源工具来攻击受害者。

    他们说:"与许多APT组织不同,攻击工具和基础设施的暴露并没有导致TA413组织的攻击方式发生重大的变化,据此,我们预计未来他们会继续使用类似的作案方式针对藏族成员进行网络攻击。"

    本文翻译自:https://threatpost.com/malicious-mozilla-firefox-gmail/164263/如若转载,请注明原文地址。

    【编辑推荐】

    1. 跟妹妹聊到 Java 16 新特征,真香!
    2. IT项目过多,管理太难?NO!因为你还没学会这七招
    3. 学了五年Python,这些网站让我相见恨晚,快来一起见识一下
    4. Java都到16了,为什么都还在用8,是越做越烂了么?
    5. 实在太神奇!Windows10这些黑科技小功能你都用过吗
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 恶意的火狐扩展程序可以接管Gmail账户

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情