黑客利用Firefox恶意扩展窃取Gmail和浏览器数据

根据网络安全公司Proofpoint近期发布的调查报告，一个代号为TA413的组织近日利用恶意的Firefox插件，窃取Gmail和Firefox浏览器数据，然后在受感染的设备下载恶意软件。Proofpoint表示该黑客组织使用鱼叉式钓鱼邮件来引诱用户点击，并提示他们安装Flash更新以查看网站内容。

Proofpoint团队表示，虽然该扩展名为“Flash更新组件”，但实际上是“Gmailnotifier(restartless)”的合法版本，并添加了额外的恶意代码。根据研究团队的说法，这段代码可以在受感染的浏览器上滥用以下功能：

●搜索邮件●归档邮件●接收Gmail通知●阅读邮件●改变Firefox浏览器声音和视觉警告功能●给邮件贴标签●将邮件标记为垃圾邮件●删除信息●刷新收件箱●转发邮件●执行功能搜索●从Gmail垃圾桶中删除邮件●从被盗账户发送邮件●从Firefox访问所有网站的用户数据●提取Firefox的屏幕通知●读取和修改Firefox的隐私设置●访问浏览器标签

但攻击并没有就此停止。Proofpoint表示，该扩展还在受感染的系统上下载并安装了ScanBox恶意软件。这种恶意软件是一个基于PHP和JavaScript的侦察框架，是一种在中国网络间谍组织之前进行的攻击中看到的老工具。