Kötü amaçlı uzantı FriarFox, hem Firefox hem de Gmail ile ilgili verileri izliyor.
Ortaya çıkarılan yeni bir siber saldırı, FriarFox adlı uygulama, kötü amaçlı bir Mozilla Firefox tarayıcı uzantısı. Firefoxu kullanarak kurbanların Gmail hesaplarının kontrolünü ele geçiriyor.
Araştırmacılar, Ocak ve Şubat aylarında gözlemlenen tehdit kampanyasının Tibet kuruluşlarını hedef aldığını ve araştırmacıların Çin devletiyle uyumlu olduğuna inandıkları bilinen bir gelişmiş kalıcı tehdit (APT) grubu olan TA413’e bağlı olduğunu söylüyorlar.
Araştırmacılar, bu saldırının arkasındaki grubun Firefox tarayıcı verilerini ve Gmail mesajlarını izleyerek kurbanlar hakkında bilgi toplamayı amaçladığını söyledi.
Kurulumdan sonra, FriarFox siber suçlulara, kullanıcıların Gmail hesaplarına ve Firefox tarayıcı verilerine çeşitli erişim türleri sağlıyor
Siber suçlular e-postaları arama, okuma, etiketleme, silme, iletme ve arşivleme, Gmail bildirimlerini alma ve ele geçirilmiş hesaptan posta gönderme becerisine sahip. Ayrıca, Firefox tarayıcı erişimi sayesinde, tüm web siteleri için kullanıcı verilerine erişiyor ve bildirimleri görüntüleyebilir ayrıca gizlilik ayarlarını okuyup değiştirebilir ve tarayıcı sekmelerine erişiyor.
Siber Saldırı: Kötü niyetli E-postalardan Kaynaklanıyor
Saldırı, birkaç Tibet kuruluşunu hedef alan kimlik avı e-postalarından (ilk olarak Ocak ayı sonlarında tespit edildi). Araştırmacılar tarafından ortaya çıkarılan e-postalardan birinin, Hindistan merkezli meşru bir grup olan “Tibet Kadınları Derneği”nden geldiği iddia edildi. E-postanın konusu şuydu: “Tibet’in içinden ve Tibet sürgün toplumundan.”
Araştırmacılar, e-postaların birkaç yıldır kullanımda olan bilinen bir TA413 Gmail hesabından gönderildiğini belirtti. Araştırmacılar, e-postanın Hindistan’daki Dalai Lama Bürosu’nu taklit ettiğini söyledi.
E-posta, bir YouTube sayfasını (hxxps: // you-tube [.] Tv /) taklit eden kötü amaçlı bir URL içeriyordu. Gerçekte, bu bağlantı alıcıları, tarayıcı uzantısını indirme sürecinin başladığı sahte bir Adobe Flash Player güncelleme temalı açılış sayfasına götürüyor.
Sahte Adobe Flash Player Sayfası ve FriarFox İndirme sayfasıydı.
Kötü niyetli “güncelleme” sayfası daha sonra, kullanıcının sisteminin profilini oluşturan ve kötü amaçlı FriarFox uzantısının indiren birkaç JavaScript dosyasını çalıştırıyor; FriarFox’un yüklenmesi birkaç koşula bağlıdır.
Araştırmacılar, “Tehdit aktörleri, bir Firefox Tarayıcısı kullanan ve bu tarayıcıda Gmail kullanan kullanıcıları hedef alıyor gibi görünüyor” dedi. “Kullanıcı, tarayıcı uzantısını almak için bir Firefox tarayıcısından URL’ye erişmelidir. Ek olarak, kötü amaçlı XPI [FriarFox] dosyasını başarıyla yüklemek için kullanıcının bu tarayıcıyla bir Gmail hesabında aktif olarak oturum açmış olması gerekmekteydi.”
Etkin bir Gmail oturumu olan Firefox kullanıcılarına, siteden yazılımın indirilmesini sağlayan bir komut istemiyle birlikte FriarFox uzantısı (hxxps: // you-tube [.] Tv / download.php’den) adresinden sunulmaktaydı.
Friarfox kötü amaçlı firefox tarayıcı uzantısı
Kampanya açılış sayfası. Kredi bilgileri: Proofpoint
“Flash güncelleme bileşenleri” olduğunu iddia eden tarayıcı uzantısını eklentileri (uzantının izinlerini onaylanması) istenir.
Ancak tehdit aktörleri, Firefox tarayıcısı kullanmayan ve / veya etkin bir Gmail oturumu olmayan kullanıcılara karşı çeşitli saldırılarda kullanmaktaydı.
