روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حمله‌ای تازه کشف‌شده با استفاده از افزونه‌ی مرورگر سفارشی‌ و آلوده‌ی موزیلا فایرفاکس موسوم به FriarFox در حال تصاحب کردن اکانت‌های جیمیل قربانیان است. به نقل از محققین، این کمپینِ تهدید –که در دو ماه ژانویه و فوریه مشاهده شد- به سازمان‌های مستقر در منطقه‌ی تبت حمله کرده است و به گروهی تحت عنوان TA413–که به اجرای حملات APT معروف است- مرتبط می‌شود. محققین بر این باورند که این گروه همسو با دولت چین فعالیت‌های خود را پیش می‌برد. بر طبق پژوهش‌ها، عاملین پشت پرده‌ی این حمله قصد دارند با نفوذ به اطلاعات مرورگر فایرفاکس و پیام‌های جیمیل، داده‌های مربوط به قربانیان را جمع‌آوری کنند.

FriarFox بعد از نصب به مجرمان سایبری انواع مختلفی از دسترسی‌ به اکانت‌های جیمیل کاربران و داده‌‌های مرورگر فایرفاکس را می‌دهد. برای مثال، مجرمان سایبری این قدرت را دارند تا ایمیل‌ها را جست‌وجو کرده، خوانده، برچسب‌گذاری نموده، پاک کرده، فوروارد و آرشیو نموده، نوتیفیکیشن جیمیل دریافت کرده و از اکانتی دستکاری‌شده ایمیل ارسالی کنند. با توجه به دسترسی‌شان به مرورگر فایرفاکس آن‌ها می‌توانند به داده کاربری همه وبسایت‌ها دسترسی پیدا کرده، نوتیفیکیشن‌ نمایش داده، تنظیمات حریم خصوصی را خوانده و دستکاری کرده و به تب‌های مرورگر نیز دسترسی داشته باشند. بر اساس گزارشات، استفاده از افزونه‌های مرورگر برای مورد هدف قرار دادن اکانت‌های خصوصی جیمیل کاربران در ترکیبش با ارسال بدافزار Scanbox نشان دهنده‌ی انعطاف‌پذیری گروه TA413 در حمله به جوامع معاند است.

حمله سایبری: نشأت‌گرفته از ایمیل‌های آلوده

این حمله ریشه در ایمیل‌های فیشینگ دارد (که اولین بار اواخر ژانویه شناسایی شد) و طی آن، چندین سازمان تبتی مورد هدف قرار گرفتند. یکی از ایمیل‌های کشف‌شده توسط محققین وانمود می‌کرد از سوی «انجمن زنان تبت» است؛ گروهی قانونی مستقر در هند. موضوع ایمیل هم بدین شرح بود: «داخل تبت و از طرف جامعه تبعیدی‌های تبت». محققین بدین‌موضوع نیز اشاره داشتند که این ایمیل‌ها از اکانت جیمیل  TA413–که سال‌هاست استفاده می‌شود- ارسال شده بوده است. این ایمیل خودش را جای دفتر معظم دالایی لاما در هند جا زده بوده است. همچنین حاوی URL آلوده بوده که یک صفحه‌ی یوتیوب (hxxps://you-tube[.]tv/) را جعل می‌کرده است. در واقعیت، این لینک دریافت‌کنندگان را به لندینگ پیج تقلبیِ Adobe Flash Player (با تمِ آپدیت) می‌برده است؛ جایی که پروسه‌ی دانلود افزونه‌ی مرورگر آلوده از همانجا شروع می‌شود.

صفحه‌ی تقلبی Adobe Flash Player و دانلود FriarFox

این صفحه‌ی «آپدیت» آلوده سپس چندین فایل جاوااسکریپت را -که سیستم کاربر را شرح می‌ دهند- اجرا کرده و ارسال آن به افزونه‌ی مخرب FriarFox را تعیین می‌کند؛ نصب FriarFox به شرایط مختلفی بستگی دارد. به گفته‌ی محققین، «عاملین تهدید به آن دسته از کاربرانی حمله می‌کنند که از مرورگر فایرفاکس استفاده کرده و نیز در همان مرورگر سرویس جیمیل خود را باز می‌کنند.  کاربر می‌بایست برای دریافت افزونه مرورگر از مرورگر فایرفاکس URL دریافت کند. افزون بر این، چنین به نظر می‌رسد که کاربر باید به طور فعالی در این مرورگر به اکانت جیمیل خود لاگین کند تا فایل مخرب XPI  (یا همان FriarFox) به طور موفقیت‌آمیزی نصب شود». کاربران فایرفاکس با سشن فعال جیمیل فوراً پذیرای افزونه‌ی  FriarFox (از hxxps://you-tube[.]tv/download.php) می‌شوند. همینطور فرمانی بدان‌ها داده می‌شود که دانلود نرم‌افزارهایی از این سایت را نیز ممکن می‌سازد. کاربران (با تأیید مجوزهای افزونه) مجبور می‌شوند به افزودن این افزونه‌ی مرورگر که از قضا ادعا هم می‌کند یکی از اجزای آپدیت فلش است. اما عاملین تهدید همچنین از ترفندهای مختلف دیگر نیز برای به دام انداختن آن دسته از کاربرانی که یا از مرورگر فایرفاکس استفاده نمی‌کنند و/یا سشن فعال جیمیل ندارند نیز استفاده می‌کنند. بعنوان مثال، کاربری که نه سشن فعال جیمیل داشته و نه از فایرفاکس هم استفاده می‌کرده بعد از بازدید از لندینگ پیج جعلی Adobe Flash Player به پیج لاگین قانونی یوتیوب ریدایرکت شده است. مهاجمین سپس تلاش کردند به کوکی فعال دامنه که روی همین سایت استفاده می‌شود دسترسی پیدا کنند. در چنین موقعیتی، عاملین شاید تلاش کنند برای دسترسی به اکانت جیمیل کاربر –در صورتیکه سشن لاگین GSuite برای لاگین به اکانت یوتیوب کاربر مورد استفاده قرار گیرد– به این کوکی دامنه رخنه کنند.

افزونه‌ی مرورگر FriarFox: قابلیت‌های مخرب

محققین می‌گویند FriarFox ظاهراً مبتنی بر ابزار منبع بازی به نام Gmail Notifier است. این در حقیقت یک ابزار رایگان است که می‌شود از جاهای مختلفی مانند GitHub، فروشگاه Mozilla Firefox Browser Add-Ons وQQ App store  بدان دسترسی پیدا کرد. این افزونه‌ی مخرب همچنین در قالب فایل XPI هم می‌آید. این فایل‌ها در واقع آرشیوهای فشرده‌ی نصب می‌باشند که توسط اپلیکیشن‌های مختلف موزیلا استفاده شده و حاوی محتواهایی از افزونه‌ی مرورگر فایرفاکس هستند.

عاملین تهدید TA413 به منظور تقویت کارکردهای مخرب خود، پنهان کردن هشدارهای مرورگر از پیش چشم قربانیان و افزونه را جای ابزار مربوط به  Adobe Flash زدن، چندین بخش افزونه‌ی مرورگر منبع باز  Gmail Notifier را تغییر دادند. بعد از نصب FriarFox یکی از فایل‌های جاوااسکریپت (tabletView.js) همچنین با سروری کنترل‌شده از سوی عامل ارتباط می‌گیرد تا فریم‌ورک Scanbox را بازیابی کند. Scanbox یک فریم‌ورک شناسایی مبتنی بر  PHP و جاوااسکریپت است که می‌تواند اطلاعات مربوط به سیستم‌های قربانی را (مربوط به سال 2014) جمع‌آوری کند.

گروه تهدید TA413: همچنان در حال پیشروی

TA413 با منافع دولت چین همسو است مشهور است به هدف قرار دادن جامعه تبتی. سپتامبر سال 2020 یک APT چینی ایمیل اسپیر فیشینگ به سازمان‌ها ارسال کرد که همین ایمیل خود باعث شد RAT جدید و جمع‌آوری‌کننده‌ی اطلاعات موسوم به Sepulcher توزیع شود. TA413 گرچه در مقایسه با سایر گروه‌های فعال  APT چندان هم پیچیده نیست اما ابزارهای منبع باز اصلاح‌شده را با فریم‌ورک‌های شناساییِ تاریخ‌دار و مشترک، انواع بردارهای تحویل و بسیاری تاکتیک‌های هدف‌دارِ مهندسی اجتماعی تلفیق می‌کند. محققین می‌گویند این کمپین جدید نشان می‌دهد که  TA413 ظاهراً بر آن شده تا برای مصالحه با قربانیان از ابزارهای منبع باز بیشتری استفاده کند. برخلاف بسیاری از گروه‌های  APT افشای عمومی کمپین‌ها، ابزارها و زیرساخت به تغییرات فاحش عملیاتیِ TA413 نیانجامید. بر همین اساس محققین اینطور انتظار دارند که استفاده از این روش عملی یا مدل مشابه آن همچنان در آینده جامعه پراکنده تبتی‌ها را مورد هدف قرار دهد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.