Den Security-Experten von Proofpoint, Inc., einem Next-Generation Cybersecurity- und Compliance-Unternehmen, ist es gelungen, eine gefährliche Browsererweiterung für Mozilla Firefox zu identifizieren.
Die von Proofpoint „FriarFox“ getaufte Erweiterung kommt bei einer Kampagne von TA413 (Threat Actor) zum Einsatz, die auf tibetische Dissidenten auf der ganzen Welt abzielt. Die APT-Gruppe (Advanced Persistent Threat) TA413, die mit der chinesischen Regierung in Verbindung gebracht wird, konnte bereits in der Vergangenheit dabei beobachtet werden, wie sie Cyberkampagnen zulasten von Organisationen der tibetischen Unabhängigkeitsbewegung durchführte.
Erstmals entdeckte das Threat-Research-Team im März 2020 Phishing-Kampagnen, die in mäßigem Umfang auf Mitglieder tibetischer Organisationen auf der ganzen Welt abzielten. Seit Januar und Februar 2021 beobachten die Cybersecurity-Spezialisten nun eine Fortsetzung dieser Kampagnen. Dabei kommt seit kurzem auch eine angepasste gefährliche Browsererweiterung für Mozilla Firefox zum Einsatz, die den Angreifern den Zugriff auf die Gmail-Konten der Opfer erlaubt und den Cyberkriminellen nahezu die vollständige Kontrolle der Accounts ermöglicht.
Verbreitet wird die Browsererweiterung mittels gezielter Phishing-Mails, die vorgeblich von der „Tibetan Women’s Association“ stammen. Darin findet sich ein präparierter Link, der mutmaßlich auf ein YouTube-Video verweist. Öffnet das Opfer den Link, wird es auf eine gefälschte Landing Page mit einem angeblichen „Adobe Flash Player Update“ weitergeleitet, die verschiedene JavaScript-Dateien ausführt. Mittels der Skripte wird sodann ermittelt, ob das System des Opfers bestimmte Kriterien erfüllt. Sofern diese Kriterien, beispielsweise die Öffnung des Links mittels Firefox sowie eine aktive User Session in Gmail, erfüllt sind, wird die FireFox-Browsererweiterung mittels XPI-Datei installiert.
Das neuentdeckte Browser-Plugin wurde von Proofpoint „FriarFox“ getauft und der APT-Gruppe TA413 zugeschrieben. Diese Hackergruppe griff erst Anfang 2021 tibetische Organisationen sowohl mit der Scanbox- als auch der Sepulcher-Malware an.
Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur Entdeckung der neuen FriarFox-Browsererweiterung:
„Wenn die letzten sechs Monate eines gezeigt haben, dann ist es, dass APT-Gruppen ein riesiges Verlangen nach Zugang zu Cloud-basierten E-Mail-Konten haben. Wir konnten dabei eine Diversifizierung der Zugriffstechniken beobachten. Einerseits High-End-Attacken wie dem SolarWinds-Supply-Chain-Angriff und andererseits niederschwellige Angriffe wie dem mit dem neuen FriarFox-Browser-Plugin. Gefährliche Browser-Plugins sind nichts Neues, aber sie sind eine häufig vernachlässigte Angriffsfläche vieler Unternehmen. Und es war eine Überraschung zu sehen, dass eine mit dem chinesischen Staat in Verbindung stehende APT-Gruppe diese Methode anwendet.
Während wir bereits festgestellt haben, dass APT TA413 dieses neue Tool zum Einsatz gebracht hat, um auf Gmail-Konten zuzugreifen und bedrohte tibetische Dissidenten auszuspionieren, ist es sehr gut möglich, dass auch weitere Cyberkriminelle diese Technik nutzen, um sowohl öffentliche als auch private Organisationen auf der ganzen Welt anzugreifen. Die komplexe Verbreitungsmethode des Tools, das wir als FriarFox-Browsererweiterung bezeichnen, gewährt diesen APT-Gruppen nahezu vollständigen Zugriff auf die Gmail-Konten ihrer Opfer. Dies ist besonders problematisch, da E-Mail-Konten zu den wertvollsten Ressourcen gehören, wenn es um menschliche Kommunikation geht.
Fast jedes andere Passwort kann damit zurückgesetzt werden, sobald ein Angreifer Zugriff auf das E-Mail-Konto einer Person erhält. Cyberkriminelle sind somit außerdem in der Lage die kompromittierten E-Mail-Konten zu nutzen, um von diesen aus gefälschte E-Mails zu verschicken, indem sie die E-Mail-Signatur und die Kontaktliste des betroffenen Nutzers missbrauchen. Dieses Vorgehen lässt solche Nachrichten äußerst überzeugend erscheinen.“
Weitere Details und Näheres zur Analyse der neuen FriarFox-Browsererweiterung sollte hier zu finden sein.
www.proofpoint.com/de