Các nhà nghiên cứu an ninh mạng hôm nay đã mở một chiến dịch mới nhằm theo dõi các cộng đồng người Tây Tạng dễ bị tổn thương trên toàn cầu bằng cách triển khai một tiện ích mở rộng độc hại của Firefox trên các hệ thống mục tiêu.
“Những kẻ đe dọa phù hợp với lợi ích nhà nước của Đảng Cộng sản Trung Quốc đã cung cấp một tiện ích mở rộng trình duyệt Mozilla Firefox độc hại được tùy chỉnh để tạo điều kiện cho việc truy cập và kiểm soát tài khoản Gmail của người dùng”, Proofpoint cho biết trong một phân tích.
Công ty bảo mật doanh nghiệp có trụ sở tại Sunnyvale đã ghim hoạt động lừa đảo trên một mối đe dọa dai dẳng nâng cao của Trung Quốc (APT) mà nó theo dõi là TA413, trước đây được cho là do các cuộc tấn công chống lại cộng đồng người Tây Tạng bằng cách tận dụng Mồi theo chủ đề COVID để cung cấp phần mềm độc hại Sepulcher với mục tiêu chiến lược là giám sát gián điệp và bất đồng chính kiến dân sự.
Các nhà nghiên cứu cho biết các cuộc tấn công đã được phát hiện vào tháng 1 và tháng 2 năm 2021, một mô hình đã tiếp tục kể từ tháng 3 năm 2020.
Chuỗi lây nhiễm bắt đầu bằng một email lừa đảo mạo danh “Hiệp hội Phụ nữ Tây Tạng” bằng cách sử dụng tài khoản Gmail được liên kết với TA413 được biết là để giả dạng Văn phòng của Đức Đạt Lai Lạt Ma ở Ấn Độ.
Các email chứa một URL độc hại, được cho là một liên kết đến YouTube, trong khi trên thực tế, nó đưa người dùng đến trang đích “Adobe Flash Player Update” giả mạo, nơi họ được nhắc cài đặt một tiện ích mở rộng Firefox mà Proofpoint gọi là “FriarFox”.
Về phần mình, tiện ích mở rộng giả mạo – có tên “Các thành phần cập nhật Flash” – tự ngụy trang thành một công cụ liên quan đến Adobe Flash, nhưng các nhà nghiên cứu cho biết nó phần lớn dựa trên một công cụ mã nguồn mở có tên “Trình thông báo của Gmail (không khởi động lại)” với những thay đổi đáng kể thêm các khả năng độc hại, bao gồm việc kết hợp các phiên bản đã sửa đổi của tệp được lấy từ các tiện ích mở rộng khác như Checker Plus dành cho Gmail.
Thời điểm của sự phát triển này không phải là ngẫu nhiên, vì Adobe đã chính thức bắt đầu chặn nội dung Flash chạy trên các trình duyệt bắt đầu từ ngày 12 tháng 1. Định dạng đa phương tiện phong phú. đến cuối cuộc đời vào ngày 31 tháng 12 năm 2020.
Điều thú vị là có vẻ như thao tác này chỉ nhắm mục tiêu đến những người dùng Trình duyệt Firefox cũng đã đăng nhập vào tài khoản Gmail của họ, vì tiện ích bổ sung này không bao giờ được phân phối trong các tình huống khi URL được đề cập được truy cập trên một trình duyệt như Google Chrome hoặc trong các trường hợp truy cập xảy ra qua Firebox nhưng nạn nhân không có phiên Gmail đang hoạt động.
Các nhà nghiên cứu cho biết: “Trong các chiến dịch gần đây được xác định vào tháng 2 năm 2021, các miền phân phối tiện ích mở rộng trình duyệt đã nhắc người dùng ‘Chuyển sang trình duyệt Firefox’ khi truy cập các miền độc hại bằng Trình duyệt Google Chrome”.
Bên cạnh quyền truy cập vào các tab trình duyệt và dữ liệu người dùng cho tất cả các trang web, tiện ích mở rộng này còn được trang bị các tính năng tìm kiếm, đọc và xóa tin nhắn, thậm chí chuyển tiếp và gửi email từ tài khoản Gmail bị xâm phạm.
Ngoài ra, FriarFox cũng liên hệ với máy chủ do kẻ tấn công kiểm soát để truy xuất tải trọng dựa trên PHP và JavaScript được gọi là Hộp quét.
Scanbox là một khung do thám cho phép những kẻ tấn công theo dõi khách truy cập vào các trang web bị xâm phạm, nắm bắt các lần nhấn phím và thu thập dữ liệu có thể được sử dụng để kích hoạt các xâm phạm tiếp theo. Nó cũng đã được báo cáo là đã được sửa đổi để cung cấp phần mềm độc hại giai đoạn hai trên các máy chủ được nhắm mục tiêu.
Các chiến dịch sử dụng Scanbox trước đây đã được phát hiện vào tháng 3 năm 2019 bởi Tương lai được ghi lại nhắm mục tiêu khách truy cập vào trang web của Tổng cục Nhập cư và Hộ chiếu Pakistan (DGIP) và một miền đánh máy giả mạo tự xưng là Cơ quan Quản lý Trung ương Tây Tạng (CTA).
Sherrod DeGrippo, Giám đốc cấp cao về nghiên cứu và phát hiện mối đe dọa của Proofpoint, cho biết việc giới thiệu tiện ích mở rộng trình duyệt FriarFox trong kho vũ khí của TA413 chỉ ra “cơn đói vô độ” của các diễn viên APT.
“Phương pháp phân phối phức tạp của công cụ […] DeGrippo lưu ý rằng cấp cho tác nhân APT này gần như toàn bộ quyền truy cập vào tài khoản Gmail của nạn nhân, điều này đặc biệt đáng lo ngại vì tài khoản email thực sự là một trong những tài sản có giá trị cao nhất khi nói đến trí thông minh của con người.
“Hầu như bất kỳ mật khẩu tài khoản nào khác đều có thể được đặt lại sau khi những kẻ tấn công có quyền truy cập vào tài khoản email của ai đó. Kẻ đe dọa cũng có thể sử dụng tài khoản email bị xâm nhập để gửi email từ tài khoản đó bằng cách sử dụng chữ ký email và danh sách liên hệ của người dùng, điều này khiến những thông điệp đó trở nên vô cùng thuyết phục.”
