Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на подставные сайты, где им предлагали установить фейкове обновление для Flash, которое якобы необходимо для просмотра контента.
Интересно Простой пароль мог стать причиной хакерской атаки на компанию SolarWinds
Что делал вирус
Сам сайт, на который заходили жертвы, содержал код, который разделял пользователей на группы – с активным сеансом на почтовом сервисе Gmail и без него. Хакеров интересовала именно первая группа, которой в дальнейшем предлагали расширение Flash update components, которое на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями:
В Gmail:
- Искать электронные письма
- Читать электронные письма
- Архивировать электронные письма
- Получать сообщения Gmail
- Изменять функции звуковых и визуальных оповещений в браузере Firefox
- Помечать электронные письма
- Обновлять папку "Входящие"
- Пересылать письма
- Помечать письма как спам
- Удалять сообщения
- Удалить сообщение из корзины
- Отправлять почту со взломанной почты
В Firefox (в зависимости от предоставленных прав):
- Доступ к данным пользователя для всех сайтов
- Показ сообщений
- Доступ к просмотру и изменению настроек конфиденциальности
- Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженный компьютер вирус ScanBox. Это старый вредный инструмент на базе PHP и JavaScript, который уже много раз использовался в атаках китайских хакеров. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox может отслеживать посетителей определенных сайтов, считывать нажатие клавиш на клавиатуре компьютера, движение и нажатие клавиш мыши, а также красть пользовательские данные, которые могут быть использованы в будущих атаках.