黑客使用浏览器扩展程序接管Target的Gmail帐户
最近,位于西藏(中国)的几个组织是针对由公用事业公司支持的一组黑客部署的大规模网络间谍活动。 Firefox浏览器上的恶意扩展。该扩展名旨在接管Gmail帐户并使用恶意软件感染受害者的系统。
初步调查表明,这项攻击运动是由一个与中国相对紧密联系的黑客组织进行的-TA413。根据2月25日发布的证明报告,协调活动始于1月,在整个2月的整个2月继续进行。
值得注意的是,这场恶意运动的特色是Scanbox,这是一种恶意代码,以其可监视信息的能力而闻名。扫描框可以允许恶意参与者准确收集目标数据,并记录其击键。
证明专家说:“自2014年以来,Scanbox已在多个运动中使用,以与中国其他少数民族一起针对藏族移民社区。” “该恶意软件还能够将访问者数据跟踪到特定的网站,执行日志记录并收集可以在未来入侵尝试中利用的用户数据。” 。
Friarfox。恶意扩展
如ProofPoint所检测到的,攻击者(TA413)发送到目标邮箱发送的网络钓鱼电子邮件将其重定向到由自己控制的“ You-tube [。]电视域”。然后将域显示为假Adobe Flash Player Update Landing页面。
从该域执行的JavaScript配置脚本将自动提示目标,如果他们使用Firefox Web浏览器并登录其Gmail帐户,则将安装一个称为Friarfox的恶意附加组件。
如果目标使用任何其他Web浏览器(不是Firefox),则将其重定向到合法的YouTube登录页面。如果他们使用Firefox,但没有登录其Gmail帐户,他们将被要求将此恶意的Friarfox附加组件添加到其浏览器中。
Friarfox是通过更改其图标和描述元数据以模仿Flash Update Process的合法开源Firefox Notifier扩展程序之上开发的。此外,Friarfox还(有意)附加了恶意JavaScripts,旨在接管受害者的Gmail帐户并使用Scanbox恶意软件感染其系统。
当受害者被欺骗到安装Friarfox扩展时,TA413恶意演员接管了受害者的Gmail帐户,并使用受害者的Firefox浏览器执行以下恶意行动:
对于Gmail帐户:
- 搜索电子邮件
- 电子邮件归档
- 获取Gmail通知
- 阅读电子邮件
- 更改Firefox浏览器的视觉和音频警报功能
- 标记您的电子邮件
- 将电子邮件标记为垃圾邮件
- 删除消息
- 刷新收件箱
- 电子邮件转发
- 从Gmail垃圾中删除消息
- 从折衷的帐户发送电子邮件
对于Firefox(基于浏览器权限):
- 访问所有站点的用户数据。
- 显示通知
- 阅读并修改隐私设置
- 访问浏览器选项卡。
ProofPoint总结说:“使用浏览器扩展名来针对用户的私人Gmail帐户,并结合扫描框恶意软件发行量证明了TA413的经验和技能。”散文。
你应该阅读
可能有兴趣
- Android和iPhone的Microsoft Defender是什么,您应该使用它吗?
Microsoft Defender被评为顶级安全软件之一,Microsoft非常认真地将此工具带给尽可能多的客户和平台。
- Microsoft,Intel发行有关Windows 11,10上的MMIO STALE数据漏洞的紧急警告。10
英特尔和微软刚刚急于发布与影响英特尔核心处理器的一系列新的CPU漏洞相关的安全咨询列表。
- 检测一种新的恶意代码,滥用Windows安装程序部署感染活动
Red Canary的安全研究人员发现了一种新的Windows恶意软件,能够通过外部USB驱动器扩散。该恶意软件与一个名为Raspberry Robin的代理小组有关,该小组于2021年9月首次观察到。
- 警告:勒索软件正在通过虚假的恶意窗口更新扩散
这种危险的勒索软件应变被称为Magniber,在互联网上已经存在了一段时间,并以各种感染力在危险群体中排名。
- 警告:量子勒索软件正在迅速部署在雷击中
对于大多数计算机用户而言,勒索软件(勒索软件)可能不是一个新概念。但是,量子勒索软件并不是每个人都听说过的术语。
- HP在Teradici PCOIP协议中发布了一系列关键漏洞
惠普警告说,Windows,Linux和MacOS的Teradici PCOIP客户端和代理商中有严重的安全漏洞。这些漏洞会影响1500万个终点。
