+43 699 / 18199463
office@itexperst.at
FriarFox - Chinesische Cyberspione setzen bösartige Firefox Erweiterung gegen Minderheiten ein

Chinesische Cyberspione setzen bösartige Firefox Erweiterung gegen Minderheiten ein – FriarFox

Die Hackergruppe TA413 aus China nutzt ein bösartiges Firefox Add-on, um Daten aus Gmail und Firefox-Browsern zu sammeln. Entdeckt wurde deren Masche durch Sicherheitsforscher von Proofpoint im Februar.

Opfer sind tibetische Organisationen in aller Welt, die von chinesischen staatlich gesponserten Hackern mit einem bösartigen Firefox-Add-on angegriffen werden. Das Add-on ist so konfiguriert, dass es Gmail- und Firefox-Browserdaten stiehlt und auch weitere Malware auf infizierte Systeme aufladen kann.

Nur Firefox Browser im Visier

Laut den Proofpoint Forschern griffen die Hacker tibetische Organisationen mit Spear-Phishing-E-Mails an. Diese waren so gestaltet, dass die Opfer auf bestimmte Webseiten gelockt wurden. Dort wurden sie dann aufgefordert, ein Flash-Update zu installieren, damit der Inhalt der Website angezeigt werden konnte.

Diese manipulierten Webseiten enthielten bestimmten Code, der die Nutzer auf bestimmte Eigenschaften hin unterscheiden konnte. Und zwar wählte der Code nur Firefox-Nutzer aus, die sich gerade in einer aktiven Gmail-Sitzung befanden. Sie wurden aufgefordert, das bösartige Add-on zu installieren.

Das Forschungsteam von Proofpoint fand heraus, dass die Browser-Erweiterung mit dem Namen „Flash Update Components“ eine Version des legitimen Add-ons „Gmail Notifier (restartless)“ war. Die Hacker hatten dort ihren bösartigen Code hinzugefügt. Proofpoint veröffentlichte ihre Funde in einem ausführlichen Blogpost.

FriarFox Angriff über ein schädliches Firefox Add-on

Bildrechte Proofpoint

Was die bösartigen Firefox-Erweiterung konnte

Der Code in der Browser-Erweiterung war so geschrieben, dass nachfolgenden Funktionen ausgeführt werden konnte:

In Gmail Konten war die Malware in der Lage, E-Mails zu suchen, lesen und archivieren, kennzeichnen, löschen und sie auch weiterzuleiten oder sie als Spam zu markieren. Sie konnte sogar den Posteingang aktualisieren, Gmail-Benachrichtigungen empfangen und auch Audio- und visuelle Warnfunktionen des Firefox-Browsers verändern. Außerdem waren die Hacker damit in der Lage, Funktionssuchen durchführen, Nachrichten aus dem Mail-Papierkorb zu löschen und letztendlich auch E-Mails abzusenden.

Je nachdem, wie das Opfer seine Browser-Berechtigungen eingestellt hatte, war die Malware auch im Firefox-Browser in der Lage, verschiedene Funktionen auszuführen. Sie hatte beispielsweise Zugriff auf Benutzerdaten für alle vom Opfer verwendeten Webseiten und auch auf deren Browser-Fenster. Außerdem konnte sie Benachrichtigungen anzeigen sowie die persönlichen Datenschutzeinstellungen des Opfers lesen und abändern.

Doch das war noch nicht alles, die bösartige Browser-Erweiterung hatte sie noch mehr drauf. Laut den Forschern konnte sie auch ScanBox und Sepulcher Malware herunterladen und installieren. Bei ScanBox handelt es sich um ein PHP- und JavaScript-basiertes Aufklärungs-Framework. Es war bereits bei früheren Angriffen durch chinesische Cyberspionage-Gruppen eingesetzt worden. Aufgefallen war ScanBox schon 2014 beim Ausspionieren der tibetischen Gruppen im Ausland und anderen ethnischen Minderheiten. Auch 2019 gab es einen ScanBox-Angriff auf Besucher pakistanischer und tibetischer Webseiten. ScanBox kann den Besuchern bestimmter Webseiten weiter Nachspionieren, Keylogging durchführen und deren Benutzerdaten sammeln. Sepulcher war bei den Lucky Cat und Exile Rat Angriffen auf tibetische Organisationen eingesetzt worden.

Der Angriffsablauf mit der bösartigen Firefox-Erweiterung

Proofpoint gab der Angriffsserie den Namen FriarFox. Die Forschungen zeigten, dass die Angriffe im Januar 2021 begannen und im Februar fortgesetzt wurden. Das hatte einen bestimmten Hintergrund: Adobe hatte seine Flash Player Ende 2020 außer Betrieb genommen. Und alle Flash-Inhalte konnten ab dem 12. Januar 2021 dann nicht mehr in Browsern abgespielt werden. Das war ungefähr der Zeitpunkt, an dem Proofpoint die ersten TA413 FriarFox-Angriffe auffielen.

Eine Phishing-E-Mail gegen mehrere tibetische Organisationen tauchte Ende Januar 2021 auf. Absender war die „Tibetan Women’s Association“ und die Betreffzeile lautete „Inside Tibet and from the Tibetan exile community“. Proofpoint konnte den Absender allerdings zu einem bereits bekannten E-Mail-Konto der chinesischen TA413-Gruppe zurückverfolgen. Seit Jahren gibt sich diese als der Kontakt zum Büro des Dalai Lama in Indien aus. Die E-Mail enthielt einen Link auf einen bösartige Code, der mit einem YouTube ähnlichen Domainnamen verschleiert wurde: URL: hxxps://you-tube[.]tv/

Einmal angeklickt führte die URL zu einer gefälschten Landingpage im Design des Adobe Flash Player Updates. Sie enthielt mehrere JavaScript-Dateien die ausgeführt wurden und ein Profil des Opfer-Systems erstellten. Diese Skripte bestimmten dann, ob die bösartige FireFox-Browser-Erweiterung, eine .XPI-Datei, überspielte. Bei XPI-Dateien handelt es sich um komprimierte Installationsarchive. Sie werden von verschiedenen Mozilla-Anwendungen verwendet.

Die FriarFox-Browsererweiterung wird Nutzern ohne offenem und aktivem Gmail-Konto zwar zur Verfügung gestellt, aber nicht aufgespielt. Die Malware ist so geschrieben, dass sie dann ein Pop-up anzeigt, auf dem erklärt wird, dass das Update nicht installiert werden konnte, da es beschädigt sei.

FriarFox-Browsererweiterung und TA413

FriarFox ist auf ein Open-Source-Tool mit dem Namen „Gmail Notifier (restartless)“ aufgebaut. Das Tool ist auf Github und in den Mozilla Firefox Browser ADD-ONS und QQ App Stores erhältlich. Damit können Anwender Benachrichtigungen erhalten und bestimmte Gmail-Aktionen für bis zu fünf aktiv angemeldete Gmail-Konten gleichzeitig durchführen.

TA413 ist seit Jahren aktiv gegen tibetische Aktivisten und klar assoziiert mit staatlichen chinesischen Interessen gegen Minderheiten und Oppositionelle in Tibet. Zuletzt war sie im September 2020 aktiv mit spear-phishing E-Mails, die den neuartigen Remote Access Trojaner Sepulcher zu Spionagezwecken auslieferte.

Seit Jahren verwenden Hacker immer wieder gefälschte Flash-Updates. Anscheinend ist das nicht allen Nutzern bekannt. Alle Alarmglocken sollten jedoch angehen, wenn man aus heiterem Himmel zu einem Flash Player Update aufgefordert wird.

Artikel von threatpost.com, 25.02.2021: Malicious Mozilla Firefox Extension Allows Gmail Takeover
Artikel von zdnet.com, 25.02.2021: Chinese cyberspies targeted Tibetans with a malicious Firefox add-on
Artikel von proofpoint.com, 25.02.2021: TA413 Leverages New FriarFox Browser Extension to Target the Gmail Accounts of Global Tibetan Organizations

Beitragsbild: Public Domain, Creative Commons CC0 von Sergio Capuzzimati von unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen