Anzeige

Firefox

Bild: rafapress / Shutterstock.com

Den Security-Experten von Proofpoint, Inc., einem Next-Generation Cybersecurity- und Compliance-Unternehmen, ist es gelungen, eine gefährliche Browsererweiterung für Mozilla Firefox zu identifizieren. 

Die von Proofpoint „FriarFox“ getaufte Erweiterung kommt bei einer Kampagne von TA413 (Threat Actor) zum Einsatz, die auf tibetische Dissidenten auf der ganzen Welt abzielt. Die APT-Gruppe (Advanced Persistent Threat) TA413, die mit der chinesischen Regierung in Verbindung gebracht wird, konnte bereits in der Vergangenheit dabei beobachtet werden, wie sie Cyberkampagnen zulasten von Organisationen der tibetischen Unabhängigkeitsbewegung durchführte.  

Erstmals entdeckte das Threat-Research-Team im März 2020 Phishing-Kampagnen, die in mäßigem Umfang auf Mitglieder tibetischer Organisationen auf der ganzen Welt abzielten. Seit Januar und Februar 2021 beobachten die Cybersecurity-Spezialisten nun eine Fortsetzung dieser Kampagnen. Dabei kommt seit kurzem auch eine angepasste gefährliche Browsererweiterung für Mozilla Firefox zum Einsatz, die den Angreifern den Zugriff auf die Gmail-Konten der Opfer erlaubt und den Cyberkriminellen nahezu die vollständige Kontrolle der Accounts ermöglicht. 

Verbreitet wird die Browsererweiterung mittels gezielter Phishing-Mails, die vorgeblich von der „Tibetan Women's Association“ stammen. Darin findet sich ein präparierter Link, der mutmaßlich auf ein YouTube-Video verweist. Öffnet das Opfer den Link, wird es auf eine gefälschte Landing Page mit einem angeblichen „Adobe Flash Player Update“ weitergeleitet, die verschiedene JavaScript-Dateien ausführt. Mittels der Skripte wird sodann ermittelt, ob das System des Opfers bestimmte Kriterien erfüllt. Sofern diese Kriterien, beispielsweise die Öffnung des Links mittels Firefox sowie eine aktive User Session in Gmail, erfüllt sind, wird die FireFox-Browsererweiterung mittels XPI-Datei installiert. 

Das neuentdeckte Browser-Plugin wurde von Proofpoint „FriarFox“ getauft und der APT-Gruppe TA413 zugeschrieben. Diese Hackergruppe griff erst Anfang 2021 tibetische Organisationen sowohl mit der Scanbox- als auch der Sepulcher-Malware an. 

Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur Entdeckung der neuen FriarFox-Browsererweiterung:  

„Wenn die letzten sechs Monate eines gezeigt haben, dann ist es, dass APT-Gruppen ein riesiges Verlangen nach Zugang zu Cloud-basierten E-Mail-Konten haben. Wir konnten dabei eine Diversifizierung der Zugriffstechniken beobachten. Einerseits High-End-Attacken wie dem SolarWinds-Supply-Chain-Angriff und andererseits niederschwellige Angriffe wie dem mit dem neuen FriarFox-Browser-Plugin. Gefährliche Browser-Plugins sind nichts Neues, aber sie sind eine häufig vernachlässigte Angriffsfläche vieler Unternehmen. Und es war eine Überraschung zu sehen, dass eine mit dem chinesischen Staat in Verbindung stehende APT-Gruppe diese Methode anwendet.  

Während wir bereits festgestellt haben, dass APT TA413 dieses neue Tool zum Einsatz gebracht hat, um auf Gmail-Konten zuzugreifen und bedrohte tibetische Dissidenten auszuspionieren, ist es sehr gut möglich, dass auch weitere Cyberkriminelle diese Technik nutzen, um sowohl öffentliche als auch private Organisationen auf der ganzen Welt anzugreifen. Die komplexe Verbreitungsmethode des Tools, das wir als FriarFox-Browsererweiterung bezeichnen, gewährt diesen APT-Gruppen nahezu vollständigen Zugriff auf die Gmail-Konten ihrer Opfer. Dies ist besonders problematisch, da E-Mail-Konten zu den wertvollsten Ressourcen gehören, wenn es um menschliche Kommunikation geht.   

Fast jedes andere Passwort kann damit zurückgesetzt werden, sobald ein Angreifer Zugriff auf das E-Mail-Konto einer Person erhält. Cyberkriminelle sind somit außerdem in der Lage die kompromittierten E-Mail-Konten zu nutzen, um von diesen aus gefälschte E-Mails zu verschicken, indem sie die E-Mail-Signatur und die Kontaktliste des betroffenen Nutzers missbrauchen. Dieses Vorgehen lässt solche Nachrichten äußerst überzeugend erscheinen."  

Weitere Details und Näheres zur Analyse der neuen FriarFox-Browsererweiterung sollte hier zu finden sein.

www.proofpoint.com/de


Artikel zu diesem Thema

Phishing
Feb 22, 2021

Phishing-Kampagnen: Wer ist besonders gefährdet?

Mit Gmail ist Google einer der größten E-Mail-Anbieter weltweit und zählt sowohl…
Supply Chain
Feb 17, 2021

Erneute Cyberattacke auf Software Supply Chain

Wenige Wochen nach dem Bekanntwerden des schwerwiegend Cyberangriffs auf den…

Weitere Artikel

Refurbishing – mit alten iPhones Geld verdienen

Wer ein iPhone besitzt und auf ein neueres Modell umsteigt, möchte meistens das alte Gerät nicht entsorgen: Es funktioniert noch ausgezeichnet und kann problemlos weiter verwendet werden.
Unternehmensgründung

Weniger Existenzgründungen im Coronajahr 2020

In der Corona-Krise haben viele Menschen ihre Pläne für eine berufliche Selbstständigkeit zunächst auf Eis gelegt. Nach Daten der staatlichen Förderbank KfW setzten im vergangenen Jahr 537 000 Menschen ihre Ideen zur Existenzgründung um.
Gaming

Games sind gut für Top-Studenten

Games sind kein Hindernis für eine gute Leistung an der Uni. Im Gegenteil, gerade Studenten mit ausgezeichneten Noten verbringen relativ viel Zeit mit Videospielen.
Euro

Wann kommt der digitale Euro?

Eine Entscheidung über die mögliche Einführung eines digitalen Euro wird nach Angaben der Europäischen Zentralbank (EZB) noch Jahre dauern.
Cloud Technologie

Couchbase Cloud ab sofort auf dem Microsoft Azure Marketplace verfügbar

Couchbase gibt die Verfügbarkeit von Couchbase Cloud auf Microsoft Azure Marketplace bekannt.
Sicherheit

Patch-Tuesday bei Microsoft und Schwachstelle in JavaScript-Engine

Am Dienstag hat Microsoft eine rekordverdächtige Zahl an Patches vorgestellt. Zudem wurde am Montag eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge verwendet wird öffentlich. Satnam Narang, Staff Research…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.