افزونه‌ی مخرب موزیلا فایرفاکس و حمله‌اش به اکانت‌های جیمیل

11 اسفند 1399 افزونه‌ی مخرب موزیلا فایرفاکس و حمله‌اش به اکانت‌های جیمیل

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حمله‌ای تازه کشف‌شده با استفاده از افزونه‌ی مرورگر سفارشی‌ و آلوده‌ی موزیلا فایرفاکس موسوم به FriarFox در حال تصاحب کردن اکانت‌های جیمیل قربانیان است. به نقل از محققین، این کمپینِ تهدید –که در دو ماه ژانویه و فوریه مشاهده شد- به سازمان‌های مستقر در منطقه‌ی تبت حمله کرده است و به گروهی تحت عنوان TA413–که به اجرای حملات APT معروف است- مرتبط می‌شود. محققین بر این باورند که این گروه همسو با دولت چین فعالیت‌های خود را پیش می‌برد. بر طبق پژوهش‌ها، عاملین پشت پرده‌ی این حمله قصد دارند با نفوذ به اطلاعات مرورگر فایرفاکس و پیام‌های جیمیل، داده‌های مربوط به قربانیان را جمع‌آوری کنند.

FriarFox بعد از نصب به مجرمان سایبری انواع مختلفی از دسترسی‌ به اکانت‌های جیمیل کاربران و داده‌‌های مرورگر فایرفاکس را می‌دهد. برای مثال، مجرمان سایبری این قدرت را دارند تا ایمیل‌ها را جست‌وجو کرده، خوانده، برچسب‌گذاری نموده، پاک کرده، فوروارد و آرشیو نموده، نوتیفیکیشن جیمیل دریافت کرده و از اکانتی دستکاری‌شده ایمیل ارسالی کنند. با توجه به دسترسی‌شان به مرورگر فایرفاکس آن‌ها می‌توانند به داده کاربری همه وبسایت‌ها دسترسی پیدا کرده، نوتیفیکیشن‌ نمایش داده، تنظیمات حریم خصوصی را خوانده و دستکاری کرده و به تب‌های مرورگر نیز دسترسی داشته باشند. بر اساس گزارشات، استفاده از افزونه‌های مرورگر برای مورد هدف قرار دادن اکانت‌های خصوصی جیمیل کاربران در ترکیبش با ارسال بدافزار Scanbox نشان دهنده‌ی انعطاف‌پذیری گروه TA413 در حمله به جوامع معاند است.

حمله سایبری: نشأت‌گرفته از ایمیل‌های آلوده

این حمله ریشه در ایمیل‌های فیشینگ دارد (که اولین بار اواخر ژانویه شناسایی شد) و طی آن، چندین سازمان تبتی مورد هدف قرار گرفتند. یکی از ایمیل‌های کشف‌شده توسط محققین وانمود می‌کرد از سوی «انجمن زنان تبت» است؛ گروهی قانونی مستقر در هند. موضوع ایمیل هم بدین شرح بود: «داخل تبت و از طرف جامعه تبعیدی‌های تبت». محققین بدین‌موضوع نیز اشاره داشتند که این ایمیل‌ها از اکانت جیمیل  TA413–که سال‌هاست استفاده می‌شود- ارسال شده بوده است. این ایمیل خودش را جای دفتر معظم دالایی لاما در هند جا زده بوده است. همچنین حاوی URL آلوده بوده که یک صفحه‌ی یوتیوب (hxxps://you-tube[.]tv/) را جعل می‌کرده است. در واقعیت، این لینک دریافت‌کنندگان را به لندینگ پیج تقلبیِ Adobe Flash Player (با تمِ آپدیت) می‌برده است؛ جایی که پروسه‌ی دانلود افزونه‌ی مرورگر آلوده از همانجا شروع می‌شود.

صفحه‌ی تقلبی Adobe Flash Player و دانلود FriarFox

این صفحه‌ی «آپدیت» آلوده سپس چندین فایل جاوااسکریپت را -که سیستم کاربر را شرح می‌ دهند- اجرا کرده و ارسال آن به افزونه‌ی مخرب FriarFox را تعیین می‌کند؛ نصب FriarFox به شرایط مختلفی بستگی دارد. به گفته‌ی محققین، «عاملین تهدید به آن دسته از کاربرانی حمله می‌کنند که از مرورگر فایرفاکس استفاده کرده و نیز در همان مرورگر سرویس جیمیل خود را باز می‌کنند.  کاربر می‌بایست برای دریافت افزونه مرورگر از مرورگر فایرفاکس URL دریافت کند. افزون بر این، چنین به نظر می‌رسد که کاربر باید به طور فعالی در این مرورگر به اکانت جیمیل خود لاگین کند تا فایل مخرب XPI  (یا همان FriarFox) به طور موفقیت‌آمیزی نصب شود». کاربران فایرفاکس با سشن فعال جیمیل فوراً پذیرای افزونه‌ی  FriarFox (از hxxps://you-tube[.]tv/download.php) می‌شوند. همینطور فرمانی بدان‌ها داده می‌شود که دانلود نرم‌افزارهایی از این سایت را نیز ممکن می‌سازد. کاربران (با تأیید مجوزهای افزونه) مجبور می‌شوند به افزودن این افزونه‌ی مرورگر که از قضا ادعا هم می‌کند یکی از اجزای آپدیت فلش است. اما عاملین تهدید همچنین از ترفندهای مختلف دیگر نیز برای به دام انداختن آن دسته از کاربرانی که یا از مرورگر فایرفاکس استفاده نمی‌کنند و/یا سشن فعال جیمیل ندارند نیز استفاده می‌کنند. بعنوان مثال، کاربری که نه سشن فعال جیمیل داشته و نه از فایرفاکس هم استفاده می‌کرده بعد از بازدید از لندینگ پیج جعلی Adobe Flash Player به پیج لاگین قانونی یوتیوب ریدایرکت شده است. مهاجمین سپس تلاش کردند به کوکی فعال دامنه که روی همین سایت استفاده می‌شود دسترسی پیدا کنند. در چنین موقعیتی، عاملین شاید تلاش کنند برای دسترسی به اکانت جیمیل کاربر –در صورتیکه سشن لاگین GSuite برای لاگین به اکانت یوتیوب کاربر مورد استفاده قرار گیرد– به این کوکی دامنه رخنه کنند.

افزونه‌ی مرورگر FriarFox: قابلیت‌های مخرب

محققین می‌گویند FriarFox ظاهراً مبتنی بر ابزار منبع بازی به نام Gmail Notifier است. این در حقیقت یک ابزار رایگان است که می‌شود از جاهای مختلفی مانند GitHub، فروشگاه Mozilla Firefox Browser Add-Ons وQQ App store  بدان دسترسی پیدا کرد. این افزونه‌ی مخرب همچنین در قالب فایل XPI هم می‌آید. این فایل‌ها در واقع آرشیوهای فشرده‌ی نصب می‌باشند که توسط اپلیکیشن‌های مختلف موزیلا استفاده شده و حاوی محتواهایی از افزونه‌ی مرورگر فایرفاکس هستند.

عاملین تهدید TA413 به منظور تقویت کارکردهای مخرب خود، پنهان کردن هشدارهای مرورگر از پیش چشم قربانیان و افزونه را جای ابزار مربوط به  Adobe Flash زدن، چندین بخش افزونه‌ی مرورگر منبع باز  Gmail Notifier را تغییر دادند. بعد از نصب FriarFox یکی از فایل‌های جاوااسکریپت (tabletView.js) همچنین با سروری کنترل‌شده از سوی عامل ارتباط می‌گیرد تا فریم‌ورک Scanbox را بازیابی کند. Scanbox یک فریم‌ورک شناسایی مبتنی بر  PHP و جاوااسکریپت است که می‌تواند اطلاعات مربوط به سیستم‌های قربانی را (مربوط به سال 2014) جمع‌آوری کند.

گروه تهدید TA413: همچنان در حال پیشروی

TA413 با منافع دولت چین همسو است مشهور است به هدف قرار دادن جامعه تبتی. سپتامبر سال 2020 یک APT چینی ایمیل اسپیر فیشینگ به سازمان‌ها ارسال کرد که همین ایمیل خود باعث شد RAT جدید و جمع‌آوری‌کننده‌ی اطلاعات موسوم به Sepulcher توزیع شود. TA413 گرچه در مقایسه با سایر گروه‌های فعال  APT چندان هم پیچیده نیست اما ابزارهای منبع باز اصلاح‌شده را با فریم‌ورک‌های شناساییِ تاریخ‌دار و مشترک، انواع بردارهای تحویل و بسیاری تاکتیک‌های هدف‌دارِ مهندسی اجتماعی تلفیق می‌کند. محققین می‌گویند این کمپین جدید نشان می‌دهد که  TA413 ظاهراً بر آن شده تا برای مصالحه با قربانیان از ابزارهای منبع باز بیشتری استفاده کند. برخلاف بسیاری از گروه‌های  APT افشای عمومی کمپین‌ها، ابزارها و زیرساخت به تغییرات فاحش عملیاتیِ TA413 نیانجامید. بر همین اساس محققین اینطور انتظار دارند که استفاده از این روش عملی یا مدل مشابه آن همچنان در آینده جامعه پراکنده تبتی‌ها را مورد هدف قرار دهد.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد