ملحق متصفح فاير فوكس

يستخدم ملحق متصفح Sketchy Firefox للتجسس على حسابات البريد الإلكتروني
الهجمات الإلكترونية عبر الإنترنت البرمجيات الخبيثة للحرب السيبرانية
“المكونات الإضافية للمستعرض الخبيثة ليست جديدة ، لكنها غالبًا ما تُنسى في كثير من الأحيان سطح هجوم في العديد من المؤسسات”

يستخدم ملحق متصفح Sketchy Firefox للتجسس على حسابات البريد الإلكتروني التبتية

اعترض باحثو الأمن من Proofpoint حملة تصيد خداعية ، وإن كانت صغيرة الحجم ، مصممة لزرع برامج ضارة على أنظمة المنظمات التبتية عبر امتداد متصفح Firefox ضار.

تتلقى أهداف الحملة عادةً رسالة بريد إلكتروني احتيالية تدعوهم إلى مشاهدة محتوى فيديو لموقع ضار ينتحل صفة YouTube. من المفترض أنه يلزم تنزيل “Adobe Flash” لعرض هذا المحتوى.

في الواقع ، سيجد المستخدمون الذين قاموا بتثبيت الوظيفة الإضافية للمتصفح أن أنظمتهم مصابة بامتداد متصفح Mozilla Firefox الخبيث ، المسمى “FriarFox” ، كما هو موضح في منشور مدونة فني بواسطة Proofpoint.

همسات الصينية
رسالة البريد الإلكتروني المخادعة المخادعة التي اعترضتها Proofpoint تم تقديمها كرسالة من “جمعية نساء التبت” واستخدمت موضوع البريد الإلكتروني “داخل التبت ومن مجتمع المنفى التبتي”.

تم ربط الهجوم ، الموجه نحو الوصول إلى حسابات Gmail الخاصة بالتبتيين والمنظمات التبتية في جميع أنحاء العالم ، بـ APT TA413 ، وهي مجموعة تهديد تتماشى مع مصالح الدولة للحزب الشيوعي الصيني ، وفقًا لـ Proofpoint.

وشوهدت المجموعة نفسها وهي تنقل برمجيات Scanbox و Sepulcher الضارة إلى المنظمات التبتية في وقت سابق من هذا العام.

مشاركة مدونة Proofpoint تم دفع ملحق المتصفح “FriarFox” الضار إلى متصفحات المستخدمين عبر التصيد الاحتيالي

بينما تستهدف هذه الحملة بالذات المجتمع التبتي ، فمن المعروف أن APT TA413 تستهدف أهدافًا سياسية أخرى.

في العام الماضي ، كشفت Proofpoint أن المجموعة نفسها استهدفت السياسيين الأوروبيين بهدف محتمل هو سرقة أسرار الدولة والبيانات الاقتصادية.

حملات التقليد
يحذر Proofpoint من أنه يمكن بسهولة اعتماد هذه التقنية من قبل مجموعات القرصنة الخبيثة الأخرى.

قال شيرود ديجريبو ، المدير الأول لأبحاث التهديدات واكتشافها في Proofpoint: “المكونات الإضافية للمستعرض الخبيثة ليست جديدة ، لكنها غالبًا ما تُنسى سطح هجوم في العديد من المؤسسات ، وكان من المفاجئ رؤية ممثل APT متحالف مع الصين استخدم هذه الطريقة.

وأضاف: “بينما رأينا APT TA413 تستخدم هذه الأداة الجديدة للوصول إلى حسابات Gmail والتجسس على السكان المعارضين التبتيين المعرضين للخطر – فمن المحتمل جدًا أن يستخدم المزيد من الجهات الفاعلة في التهديد هذه التقنية لاستهداف مؤسسات القطاعين العام والخاص في جميع أنحاء العالم”.

اقرأ المزيد من أحدث أخبار الهجمات الإلكترونية من جميع أنحاء العالم

أضاف DeGrippo: “إن طريقة التسليم المعقدة للأداة ، والتي نسميها امتداد المتصفح” FriarFox “، تمنح ممثل APT هذا وصولًا شبه كامل إلى حسابات Gmail الخاصة بضحاياهم ، وهو أمر مزعج بشكل خاص لأن حسابات البريد الإلكتروني هي بالفعل من بين أعلى قيمة الأصول عندما يتعلق الأمر بالذكاء البشري “.

يمنح الوصول إلى حسابات البريد الإلكتروني المتسللين القدرة على إعادة تعيين حسابات الضحية الأخرى عبر الإنترنت.

يمكن لممثلي التهديدات أيضًا استخدام حسابات البريد الإلكتروني المخترقة لإرسال بريد إلكتروني من هذا الحساب باستخدام قائمة جهات اتصال الضحية ، وهي آلية جاهزة لإنشاء رسائل متابعة احتيالية مقنعة أو لزيادة احتمالية فتح المستلمين لمرفقات الرسائل المحملة بالبرامج الضارة.