Anzeige

Firefox

Bild: rafapress / Shutterstock.com

Den Security-Experten von Proofpoint, Inc., einem Next-Generation Cybersecurity- und Compliance-Unternehmen, ist es gelungen, eine gefährliche Browsererweiterung für Mozilla Firefox zu identifizieren. 

Die von Proofpoint „FriarFox“ getaufte Erweiterung kommt bei einer Kampagne von TA413 (Threat Actor) zum Einsatz, die auf tibetische Dissidenten auf der ganzen Welt abzielt. Die APT-Gruppe (Advanced Persistent Threat) TA413, die mit der chinesischen Regierung in Verbindung gebracht wird, konnte bereits in der Vergangenheit dabei beobachtet werden, wie sie Cyberkampagnen zulasten von Organisationen der tibetischen Unabhängigkeitsbewegung durchführte.  

Erstmals entdeckte das Threat-Research-Team im März 2020 Phishing-Kampagnen, die in mäßigem Umfang auf Mitglieder tibetischer Organisationen auf der ganzen Welt abzielten. Seit Januar und Februar 2021 beobachten die Cybersecurity-Spezialisten nun eine Fortsetzung dieser Kampagnen. Dabei kommt seit kurzem auch eine angepasste gefährliche Browsererweiterung für Mozilla Firefox zum Einsatz, die den Angreifern den Zugriff auf die Gmail-Konten der Opfer erlaubt und den Cyberkriminellen nahezu die vollständige Kontrolle der Accounts ermöglicht. 

Verbreitet wird die Browsererweiterung mittels gezielter Phishing-Mails, die vorgeblich von der „Tibetan Women's Association“ stammen. Darin findet sich ein präparierter Link, der mutmaßlich auf ein YouTube-Video verweist. Öffnet das Opfer den Link, wird es auf eine gefälschte Landing Page mit einem angeblichen „Adobe Flash Player Update“ weitergeleitet, die verschiedene JavaScript-Dateien ausführt. Mittels der Skripte wird sodann ermittelt, ob das System des Opfers bestimmte Kriterien erfüllt. Sofern diese Kriterien, beispielsweise die Öffnung des Links mittels Firefox sowie eine aktive User Session in Gmail, erfüllt sind, wird die FireFox-Browsererweiterung mittels XPI-Datei installiert. 

Das neuentdeckte Browser-Plugin wurde von Proofpoint „FriarFox“ getauft und der APT-Gruppe TA413 zugeschrieben. Diese Hackergruppe griff erst Anfang 2021 tibetische Organisationen sowohl mit der Scanbox- als auch der Sepulcher-Malware an. 

Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur Entdeckung der neuen FriarFox-Browsererweiterung:  

„Wenn die letzten sechs Monate eines gezeigt haben, dann ist es, dass APT-Gruppen ein riesiges Verlangen nach Zugang zu Cloud-basierten E-Mail-Konten haben. Wir konnten dabei eine Diversifizierung der Zugriffstechniken beobachten. Einerseits High-End-Attacken wie dem SolarWinds-Supply-Chain-Angriff und andererseits niederschwellige Angriffe wie dem mit dem neuen FriarFox-Browser-Plugin. Gefährliche Browser-Plugins sind nichts Neues, aber sie sind eine häufig vernachlässigte Angriffsfläche vieler Unternehmen. Und es war eine Überraschung zu sehen, dass eine mit dem chinesischen Staat in Verbindung stehende APT-Gruppe diese Methode anwendet.  

Während wir bereits festgestellt haben, dass APT TA413 dieses neue Tool zum Einsatz gebracht hat, um auf Gmail-Konten zuzugreifen und bedrohte tibetische Dissidenten auszuspionieren, ist es sehr gut möglich, dass auch weitere Cyberkriminelle diese Technik nutzen, um sowohl öffentliche als auch private Organisationen auf der ganzen Welt anzugreifen. Die komplexe Verbreitungsmethode des Tools, das wir als FriarFox-Browsererweiterung bezeichnen, gewährt diesen APT-Gruppen nahezu vollständigen Zugriff auf die Gmail-Konten ihrer Opfer. Dies ist besonders problematisch, da E-Mail-Konten zu den wertvollsten Ressourcen gehören, wenn es um menschliche Kommunikation geht.   

Fast jedes andere Passwort kann damit zurückgesetzt werden, sobald ein Angreifer Zugriff auf das E-Mail-Konto einer Person erhält. Cyberkriminelle sind somit außerdem in der Lage die kompromittierten E-Mail-Konten zu nutzen, um von diesen aus gefälschte E-Mails zu verschicken, indem sie die E-Mail-Signatur und die Kontaktliste des betroffenen Nutzers missbrauchen. Dieses Vorgehen lässt solche Nachrichten äußerst überzeugend erscheinen."  

Weitere Details und Näheres zur Analyse der neuen FriarFox-Browsererweiterung sollte hier zu finden sein.

www.proofpoint.com/de


Artikel zu diesem Thema

Phishing
Feb 22, 2021

Phishing-Kampagnen: Wer ist besonders gefährdet?

Mit Gmail ist Google einer der größten E-Mail-Anbieter weltweit und zählt sowohl…
Supply Chain
Feb 17, 2021

Erneute Cyberattacke auf Software Supply Chain

Wenige Wochen nach dem Bekanntwerden des schwerwiegend Cyberangriffs auf den…

Weitere Artikel

Smartwatch

Smartwatch: Die wichtigsten Vor- und Nachteile des beliebten Gadgets

In Zeiten von smarten Mobiltelefonen, handlichen Tablets und einer sprachgesteuerten künstlichen Intelligenz im eigenen Wohnzimmer verwundert es eigentlich nur wenig, dass sich auch die sogenannten Smartwatches nicht nur hierzulande stetig wachsender…
itsa 2021

Großes Wiedersehen der IT-Security-Experten auf der it-sa 2021

Der Restart ist gelungen: 274 Aussteller aus 18 Ländern und rund 5.200 Fachbesucher aus 28 Ländern machten die it-sa 2021 vom 12. bis 14. Oktober zum Treffpunkt für IT-Sicherheitsexperten und -entscheider.

Stormshield: Neu native Chiffrierungslösung für Google Workplace

Stormshield stellt die mit Google entwickelte Lösung Stormshield Data Security (SDS) für Google Workspace vor. Sie ermöglicht Unternehmen, die Google Workspace einsetzen, alle Arten von Informationen (Inhalte, Kommunikation etc.) völlig unabhängig und unter…
PrintNightmare

Cyberangriffe über PrintNightmare bleiben gefährlich

Am Patch Tuesday dieser Woche gab es einmal mehr neue Security Patches von Microsoft, die helfen teilweise akute Sicherheitslücken zu schließen. Ein Kommentar von Satnam Narang, Staff Research Engineer bei Tenable, zum aktuellen Patch Tuesday.
MysterySnail

MysterySnail: Zero-Day-Exploit für Windows OS entdeckt

Kaspersky-Experten haben einen neuen Zero-Day-Exploit entdeckt. ,MysterySnail' wurde im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern identifiziert; zuvor hatten die automatisierten…
Acer

Massiver Cyberangriff auf Acer

Der Computergigant Acer hat bestätigt, dass seine Kundendienstsysteme in Indien kürzlich durch einen "isolierten Angriff" verletzt wurden, wie das Unternehmen es nannte.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.