Компания Proofpoint обнаружила кампанию, связанную с китайской группировкой TA413. По данным исследователей, кампания была активна с января по февраль 2021 года. Хакеры атаковали тибетские организации по всему миру, используя вредоносное расширение для Firefox, которое похищало данные Gmail и Firefox, а затем загружало малварь в зараженные системы.
Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на сайты, где им предлагалось установить фейковое обновление для Flash, якобы необходимое для просмотра контента.
На самом деле эти ресурсы содержали код, разделяющий пользователей на группы. Так, лишь пользователям Firefox с активным сеансом Gmail предлагали установить вредоносное расширение, а другие жертвы хакеров не интересовали.
Вредоносное расширение носило имя Flash update components, но на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями.
Gmail:
- Искать электронные письма
- Архивировать электронные письма
- Получать уведомления Gmail
- Читать электронные письма
- Изменение функций звуковых и визуальных оповещений в браузере Firefox
- Пометить электронные письма
- Пометить электронные письма как спам
- Удалить сообщения
- Обновить папку «Входящие»
- Пересылка писем
- Выполните поиска
- Удалить сообщения из корзины Gmail
- Отправить почту из взломанного аккаунта
Firefox (зависит от предоставленных прав):
- Доступ к пользовательским данным для всех сайтов
- Отображать уведомления
- Читать и изменять настройки конфиденциальности
- Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженную машину малварь ScanBox. Это старый вредоносный инструмент на базе PHP и JavaScript, который не раз использовался в атаках китайских хак-групп. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox способен отслеживать посетителей определенных сайтов, работать как кейлоггер, а также воровать пользовательские данные, которые могут быть использованы в будущих атаках.
Интересно, что на этот раз атаки с использованием поддельного Flash сработали как никогда хорошо. Хотя большинство пользователей давно знает, что следует держаться подальше от сайтов, предлагающих обновления Flash, в начале текущего года поддержка Flash была окончательно прекращена. 12 января 2021 года весь Flash-контент перестал воспроизводиться в браузерах, и, похоже, именно это сделало атаки TA413 намного успешнее, чем обычно.