Расширение FriarFox предоставляет хакерам полный доступ к Gmail жертвы и доступ к ее данным для всех сайтов.
Специалисты ИБ-компании Proofpoint рассказали о китайской киберпреступной группировке, взламывающей учетные записи Gmail с помощью расширения для браузера.
Киберпреступная группировка TA413 активна уже почти десять лет и обычно связывается экспертами с вредоносным ПО LuckyCat и ExileRAT, а ее жертвами в основном являются тибетцы. В начале 2021 года TA413 пыталась атаковать учетные записи Gmail организаций в Тибете с помощью вредоносного расширения для браузера.
По словам экспертов, в январе-феврале нынешнего года группировка доставляла на атакуемые компьютеры расширение FriarFox для браузера Firefox, предоставляющее ей контроль над принадлежащей жертвам почтой Gmail. В ходе атак также использовалось вредоносное ПО Scanbox и Sepulcher, ранее уже связанное ИБ-экспертами с TA413.
Злоумышленники рассылали жертвам фишинговые письма с ссылкой на поддельную страницу обновления Adobe Flash Player, запускающую на атакуемых системах JavaScript-код. Этот код доставлял вредоносное расширение FriarFox, но только в случае, если ссылка открывалась через Firefox.
После установки расширение предоставляло атакующим полный контроль над Gmail жертвы. Злоумышленники могли осуществлять поиск по письмам, архивировать сообщения, читать переписку, получать уведомления, помечать письма как спам, удалять письма, обновлять входящие, переадресовывать письма, модифицировать уведомления браузере, удалять навсегда письма из корзины и отправлять сообщения.
FriarFox представляет собой сильно видоизмененную версию расширения с открытым исходным кодом Gmail Notifier, предоставляющую злоумышленникам доступ к данным пользователей для всех сайтов и позволяющую просматривать и менять настройки конфиденциальности, отображать уведомления и получать доступ к открытым в браузере вкладкам.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках