駭客利用Firefox惡意擴充套件竊取Gmail和瀏覽器資料

根據網路安全公司 Proofpoint 近期釋出的調查報告，一個代號為 TA413 的組織近日利用惡意的 Firefox 外掛，竊取 Gmail 和 Firefox 瀏覽器資料，然後在受感染的裝置下載惡意軟體。Proofpoint 表示該駭客組織使用魚叉式釣魚郵件來引誘使用者點選，並提示他們安裝 Flash 更新以檢視網站內容。

Proofpoint 團隊表示，雖然該副檔名為“Flash更新元件”，但實際上是“Gmail notifier (restartless)”的合法版本，並新增了額外的惡意程式碼。根據研究團隊的說法，這段程式碼可以在受感染的瀏覽器上濫用以下功能：

• 搜尋郵件
• 歸檔郵件
• 接收 Gmail 通知
• 閱讀郵件
• 改變 Firefox 瀏覽器聲音和視覺警告功能
• 給郵件貼標籤
• 將郵件標記為垃圾郵件
• 刪除資訊
• 重新整理收件箱
• 轉發郵件
• 執行功能搜尋
• 從 Gmail 垃圾桶中刪除郵件
• 從被盜賬戶傳送郵件
• 從 Firefox 訪問所有網站的使用者資料
• 提取 Firefox 的螢幕通知
• 讀取和修改 Firefox 的隱私設定
• 訪問瀏覽器標籤

但攻擊並沒有就此停止。Proofpoint 表示，該擴充套件還在受感染的系統上下載並安裝了 ScanBox 惡意軟體。這種惡意軟體是一個基於 PHP 和 JavaScript 的偵察框架，是一種在中國網路間諜組織之前進行的攻擊中看到的老工具。