Maliciozna Firefox ekstenzija napadačima otvorila put ka Gmail nalozima žrtava

U najnovijem hakerskom napadu ciljano je nekoliko organizacija sa Tibeta, a zadatak napadača je bio da preuzmu kontrolu nad mejl nalozima, te tako prate prepiske žrtava. Do Gmail naloga su stizali preko malicioznih Firefox ekstenzija, koje su dizajnirane da preuzmu kontrolu nad mejlovima, te ciljane uređaje inficiraju malverom.

Napadima je upravljala kineska hakerska grupa TA413, a počeli su u januaru, da bi potrajali i tokom čitavog februara. U procesu je korišćen i Scanbox malver, koji je napadačima omogućio da dođu do privatnih podatka, te da prate korišćenje tastature, a kako bi se dokopali lozinki i drugih osetljivih informacija. Ovaj malver se koristi još od 2014. godine, a meta je uglavnom tibetanska dijaspora, koju često ciljaju grupe koje rade u interesu kineske vlade.

Phishing mejlovi koje je grupa TA413 slala svojim metama su žrtve usmeravali ka domenu you-tube[.]tv, koji je u vlasništvu napadača, a funkcioniše tako što prikazuje lažnu Adobe Flash Player Update stranicu. Na pogođene uređaje je nakon toga instaliran maliciozni add-on pod imenom FriarFox, a u slučaju da su žrtve koristile Firefox pregledač, te bile ulogovane na svoje Gmail naloge. U slučajevima kada su mete koristile neki drugi pregledač, lažna update stranica ih je usmeravala ka legitimnoj YouTube login stranici.

Iako su napadi usmereni ka maloj grupi korisnika, u pitanju je opasna praksa koja bi mogla da se iskoristi i u okviru drugih kampanja. Maliciozne ekstenzije uz pomoć kojih se dolazi do privatnih Gmail naloga, u kombinaciji sa Scanbox malverom, su moćna kombinacija, koja demonstrira snagu kineske hakerske grupe. Mete su uglavnom protivnici režima, pa slobodno može da se zaključi da se progon neistomišljenika sve više iz analognog seli u online svet.

Izvor: Bleeping Computer