كشف باحثون في مجال الأمن السيبراني، اليوم، عن حملة تجسس جديدة تستهدف المجتمعات التبتية الضعيفة حول العالم، وذلك من خلال نشر امتداد خبيث لمتصفح Firefox على الأجهزة المستهدفة، بهدف مراقبتها وسرقة بياناتها الحساسة
وقال PrintPoint في تحليل: “قامت الممثلون بالتهديدات التي تتماشى مع مصالح الدولة الصينية الشيوعية ، بتسليم امتداد متصفح مخصص مخصص لزيادة موزيلا فايرفوكس التي سهلت الوصول إلى حسابات مستخدمي Gmail والسيطرة عليها”.
قامت شركة أمن المؤسسة التي تتخذ من سانيفيل مقراً لها بتعليق عملية التصيد على تهديد مستمر متقدم صيني (APT). TA413، التي نسبت سابقًا إلى الهجمات ضد الشتات التبتي عن طريق الاستفادة سحر الطول لتقديم البرامج الضارة القبر مع الهدف الاستراتيجي المتمثل في التجسس والمراقبة المنشق المدنية.
وقال الباحثون إن الهجمات تم اكتشافها في يناير وفبراير 2021 ، وهو نمط استمر منذ مارس 2020.
تبدأ سلسلة العدوى عبر بريد إلكتروني للتصيد في انتحال شخصية “جمعية المرأة التبتية” باستخدام حساب Gmail المرتبط TA413 والذي يُعرف أنه يتنكر كمكتب قداسة الدالاي لاما في الهند.
تحتوي رسائل البريد الإلكتروني على عنوان URL الضار ، من المفترض أن يكون هناك رابط إلى YouTube ، في حين أن الأمر يأخذ المستخدمين إلى “Adobe Flash Player Update” “PAGE” حيث يُطلب من تمديد Firefox تمديدًا يدعو إلى “Friarfox”.
من جانبها ، يتنكر ملحق Rogue-المسمى “مكونات تحديث Flash”-كأداة متعلقة بأدوبي ، لكن الباحثين قالوا إنها تعتمد إلى حد كبير على أداة مفتوحة المصدر تسمى “Gmail Teamile (Retartless)” مع تعديلات كبيرة تضيف إمكانات خبيثة ، بما في ذلك دمج الإصدارات المعدلة من ملفات أخرى مثل Checker for Gmail.
توقيت هذا التطور ليس مصادفة ، حيث بدأ Adobe رسميًا في منع محتوى الفلاش من التشغيل في متصفحات ابتداءً من 12 يناير بعد تنسيق الوسائط المتعددة الغنية نهاية الحياة في 31 ديسمبر 2020.
ومن المثير للاهتمام ، يبدو أن العملية تستهدف فقط مستخدمي متصفح Firefox الذين قاموا أيضًا بتسجيل الدخول إلى حسابات Gmail الخاصة بهم ، حيث لا يتم تسليم الوظيفة الإضافية أبدًا في السيناريوهات عندما يتم زيارة عنوان URL المعني على متصفح مثل Google Chrome أو في الحالات التي يحدث فيها الوصول عبر Firefox ، لكن الضحايا ليس لديهم جلسة Gmail نشطة.
“في الحملات الحديثة التي تم تحديدها في فبراير 2021 ، دفعت مجالات توصيل تمديد المتصفح للمستخدمين إلى” التبديل إلى متصفح Firefox “عند الوصول إلى المجالات الضارة باستخدام متصفح Google Chrome” الباحثون قال.
بمجرد التثبيت ، فإن الامتداد ، إلى جانب الوصول إلى علامات تبويب المتصفح وبيانات المستخدم لجميع مواقع الويب ، يتم تزويده بميزات للبحث والقراءة وحذف الرسائل وحتى إعادة إرسال رسائل بريد إلكتروني من حساب Gmail المعرض للخطر.
بالإضافة إلى ذلك ، يتصل Friarfox أيضًا بخادم يسيطر عليه المهاجم لاسترداد حمولة PHP و JavaScript المسمى Scanbox.
Scanbox هو إطار استطلاع يمكّن المهاجمين من تتبع الزائرين إلى مواقع الويب المعرضة للخطر ، والتقاط ضغطات المفاتيح ، وبيانات الحصاد التي يمكن استخدامها لتمكين التنازلات المتابعة. كما تم الإبلاغ عن تعديله من أجل تقديم البرامج الضارة في المرحلة الثانية على المضيفين المستهدفين.
تم رصد الحملات التي تستخدم Scanbox مسبقًا في مارس 2019 بواسطة مستقبل مسجل استهداف زوار موقع الويب الخاص بمديرية باكستان العامة للهجرة وجوازات السفر (DGIP) ومجال مصنوع مزيف يزعم أنه الإدارة التبتية المركزية الرسمية (CTA).
يقول Sherrod DeGrippo ، مدير أبحاث التهديدات والكشف عن التهديدات ، إن إدخال تمديد متصفح Friarfox في Arsenal TA413 يشير إلى “الجوع الذي لا يشبع” للممثلين من أجل الوصول إلى حسابات البريد الإلكتروني المستندة إلى مجموعة النظراء.
“إن طريقة التسليم المعقدة للأداة (…) تمنح هذا الممثل المناسب بالقرب من إمكانية الوصول الكامل إلى حسابات Gmail لضحاياهم ، وهو أمر مثير للقلق بشكل خاص لأن حسابات البريد الإلكتروني هي حقًا من بين أعلى الأصول ذات القيمة عندما يتعلق الأمر بالذكاء البشري”.
“يمكن إعادة تعيين أي كلمة مرور أخرى تقريبًا بمجرد الوصول إلى حساب المهاجمين إلى حساب البريد الإلكتروني لشخص ما. يمكن لممثلي التهديد أيضًا استخدام حسابات البريد الإلكتروني المعرضة للخطر لإرسال بريد إلكتروني من هذا الحساب باستخدام توقيع البريد الإلكتروني للمستخدم وقائمة جهات الاتصال ، مما يجعل هذه الرسائل مقنعة للغاية.”
