Một số tổ chức có trụ sở tại Tây Tạng (Trung Quốc) mới đây đã trở thành mục tiêu trong chiến dịch gián điệp mạng quy mô lớn được bởi triển khai bởi một nhóm tin tặc được hậu thuẫn, bằng cách sử dụng một tiện ích mở rộng độc hại trên trình duyệt Firefox. Tiện ích mở rộng này được thiết kế để chiếm đoạt tài khoản Gmail và lây nhiễm phần mềm độc hại trên hệ thống của nạn nhân.
Điều tra ban đầu cho thấy chiến dịch tấn công này được tiến hành bởi một nhóm hacker có liên hệ tương đối mật thiết với Trung Quốc - TA413. Các hoạt động điều phối đã bắt đầu từ tháng Giêng và tiếp tục trong suốt tháng Hai, theo một báo cáo của Proofpoint được công bố hôm 25/2 vừa qua.
Đáng chú ý, chiến dịch độc hại này có sự góp mặt của Scanbox, mã độc nổi tiếng với khả năng gián điệp thông tin. Scanbox có thể cho phép các tác nhân độc hại thu thập chính xác dữ liệu của mục tiêu, đồng thời ghi lại cả các lần gõ phím của họ.
"Scanbox đã được sử dụng trong nhiều chiến dịch kể từ năm 2014 để nhắm mục tiêu đến Cộng đồng Di dân Tây Tạng cùng với các dân tộc thiểu số khác tại Trung Quốc", các chuyên gia Proofpoint cho biết. "Mã độc này còn có khả năng theo dõi cả dữ liệu khách truy cập vào các trang web cụ thể, thực hiện ghi nhật ký và thu thập dữ liệu người dùng có thể được tận dụng trong các nỗ lực xâm nhập trong tương lai".
Tiện ích mở rộng độc hại FriarFox
Theo phát hiện của Proofpoint, các email lừa đảo do kẻ tấn công (TA413) gửi đến hộp thư của mục tiêu sẽ chuyển hướng họ đến miền “you-tube[.]tv” do chính chúng kiểm soát. Miền này sau đó lại được hiển thị ngụy trang dưới dạng trang đích Adobe Flash Player Update giả mạo.
Các tập lệnh cấu hình JavaScript được thực thi từ miền này sẽ tự động nhắc các mục tiêu cài đặt tiện ích bổ sung độc hại có tên FriarFox nếu họ đang sử dụng trình duyệt web Firefox và đăng nhập vào tài khoản Gmail.
Nếu mục tiêu sử dụng bất kỳ trình duyệt web nào khác (không phải Firefox), họ sẽ được chuyển hướng đến trang đăng nhập YouTube hợp pháp. Nếu đang sử dụng Firefox nhưng chưa đăng nhập vào tài khoản Gmail, họ sẽ được yêu cầu bổ sung thêm tiện ích FriarFox độc hại này vào trình duyệt của mình.
FriarFox được phát triển dựa trên tiện ích mở rộng mã nguồn mở hợp pháp Gmail Notifier của Firefox, bằng cách thay đổi biểu tượng và mô tả siêu dữ liệu của nó để bắt chước quy trình cập nhật Flash. Ngoài ra, FriarFox cũng được đính kèm (theo cách có chủ đích) các JavaScripts độc hại được thiết kế để chiếm đoạt tài khoản Gmail của nạn nhân và lây nhiễm phần mềm độc hại Scanbox vào hệ thống của họ.
Khi nạn nhân bị lừa cài đặt tiện ích mở rộng FriarFox, các tác nhân độc hại TA413 sẽ chiếm tài khoản Gmail và dùng trình duyệt Firefox của nạn nhân để thực hiện các hành động độc hại sau:
Đối với tài khoản Gmail:
- Tìm kiếm email
- Lưu trữ email
- Nhận thông báo của Gmail
- Đọc email
- Thay đổi các tính năng cảnh báo bằng âm thanh và hình ảnh của trình duyệt Firefox cho tiện ích mở rộng FriarFox
- Gắn nhãn email
- Đánh dấu email là thư rác
- Xóa tin nhắn
- Làm mới hộp thư đến
- Chuyển tiếp email
- Xóa thư khỏi thùng rác Gmail
- Gửi mail từ tài khoản bị xâm phạm
Đối với Firefox (dựa trên quyền của trình duyệt):
- Truy cập dữ liệu người dùng cho tất cả các trang web.
- Hiển thị thông báo
- Đọc và sửa đổi cài đặt quyền riêng tư
- Truy cập các tab của trình duyệt.
“Việc sử dụng các tiện ích mở rộng trình duyệt để nhắm mục tiêu đến tài khoản Gmail riêng tư của người dùng kết hợp với hoạt động phân phối phần mềm độc hại Scanbox chứng tỏ kinh nghiệm và tay nghề cao của TA413”, Proofpoint kết luận.