Firefox | Hacking | Doplňky do prohlížeče

Zákeřný doplněk prohlížeče Firefox umožňoval čínským hackerům přístup k účtům na Gmailu

Doplňky webových prohlížečů mají primárně sloužit k rozšíření jejich schopností o funkce, kterými běžně nedisponují. Jsou ale také potenciálním nebezpečím, neboť mohou přistupovat k citlivým informacím. Své by o tom mohlo vyprávět několik tibetských organizací, které se staly terčem špionážní kampaně hackerů podporovaných státem.

Dle zprávy bezpečnostní firmy Proofpoint využívala čínská hackerská skupina TA413 doplněk prohlížeče Firefox, označovaný jako FriarFox. Útoky začaly v lednu a pokračovaly v průběhu celého února. K infiltraci do systémů používali útočníci phishingové metody.

Špehování Tibeťanů

Skupina TA413 má, dle dostupných informací, vazby na vládnoucí Komunistickou stranu Číny. Stojí například za malwarem Scanbox a Sepulcher a jejím cílem je špionáž a kontrola disidentů. Tibet je sice provincií Čínské lidové republiky, avšak současné vztahy s Čínou jsou kvůli pohnuté historii značně vyhrocené.

Koncem ledna tohoto roku byla spuštěna phishingová kampaň, zaměřená na několik tibetských organizací. V e-mailu, vydávajícím se za zprávu od „Tibetské ženské asociace“, byl odkaz směřující na škodlivou adresu, která se vydávala za YouTube.

Po otevření stránky byla uživateli nabídnuta aktualizace Adobe Flash Playeru. Pokud uživatel souhlasil, proběhla kontrola systému počítače a následně instalace škodlivého doplňku webového prohlížeče. V případě úspěchu mohli hackeři unést účet na Gmailu a provádět následující akce:

  • Prohledávat e-maily
  • Archivovat e-maily
  • Dostávat oznámení z Gmailu
  • Číst e-maily
  • Upravit zvukové a vizuální výstrahy prohlížeče Firefox
  • Štítkovat e-maily
  • Označovat e-maily jako spam
  • Mazat zprávy
  • Obnovit doručenou poštu
  • Přeposílat e-maily
  • Mazat zprávy z koše Gmailu
  • Odesílat poštu z napadeného účtu

Zákeřný doplněk

Zdá se, že doplněk FriarFox je z velké části založen na nástroji s otevřeným zdrojovým kódem „Gmail Notifier (restartless)“. Jedná se o bezplatnou aplikaci, jejíž kódy jsou k dispozici na Githubu. Umožňuje uživatelům přijímat oznámení a provádět určité akce na až pěti současně přihlášených účtech na Gmailu.

Doplněk dále umožňoval přístup k uživatelským datům pro všechny webové stránky, všem kartám webového prohlížeče a provádění změn nastavení soukromí. Kromě toho mohli hackeři v napadeném Firefoxu zobrazovat libovolná oznámení.

„Použití rozšíření prohlížeče k cílení na soukromé účty na Gmailu v kombinaci s malwarem Scanbox demonstruje flexibilitu TA413 při cílení na disidentské komunity,“ uzavírají svou zprávu experti ze společnosti Proofpoint.

Diskuze (2) Další článek: Sledujte start mise Starlink 1-17. A možná poletí i prototyp Starshipu SN10!

Témata článku: , , , , , , , , , , , , , , , , , , , ,