FriarFox: Proofpoint entdeckt gefährliche Firefox-Browsererweiterung
Erstmals entdeckte das Threat-Research-Team von Proofpoint im März 2020 Phishing-Kampagnen, die in mäßigem Umfang auf Mitglieder tibetischer Organisationen auf der ganzen Welt abzielten. Seit Januar und Februar 2021 beobachten die Cybersecurity-Spezialisten nun eine Fortsetzung dieser Kampagnen. Dabei kommt seit kurzem auch eine angepasste gefährliche Browsererweiterung für Mozilla Firefox zum Einsatz, die den Angreifern den Zugriff auf die Gmail-Konten der Opfer erlaubt und den Cyberkriminellen nahezu die vollständige Kontrolle der Accounts ermöglicht.
Verbreitet wird die Browsererweiterung mittels gezielter Phishing-Mails, die vorgeblich von der „Tibetan Women’s Association“ stammen. Darin findet sich ein präparierter Link, der mutmaßlich auf ein YouTube-Video verweist. Öffnet das Opfer den Link, wird es auf eine gefälschte Landing Page mit einem angeblichen „Adobe Flash Player Update“ weitergeleitet, die verschiedene JavaScript-Dateien ausführt. Mittels der Skripte wird sodann ermittelt, ob das System des Opfers bestimmte Kriterien erfüllt. Sofern diese Kriterien, beispielsweise die Öffnung des Links mittels Firefox sowie eine aktive User Session in Gmail, erfüllt sind, wird die FireFox-Browsererweiterung mittels XPI-Datei installiert.
Das neuentdeckte Browser-Plugin wurde von Proofpoint „FriarFox“ getauft und der APT-Gruppe TA413 zugeschrieben. Diese Hackergruppe griff erst Anfang 2021 tibetische Organisationen sowohl mit der Scanbox- als auch der Sepulcher-Malware an. Proofpoint hatte bereits in der Vergangenheit Informationen zur Sepulcher-Malware und ihrer Verbindungen zu den Malware-Kampagnen Lucky Cat und Exile Rat, die auf tibetische Organisationen abzielten, veröffentlicht.
Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur Entdeckung der neuen FriarFox-Browsererweiterung:
„Wenn die letzten sechs Monate eines gezeigt haben, dann ist es, dass APT-Gruppen ein riesiges Verlangen nach Zugang zu Cloud-basierten E-Mail-Konten haben. Wir konnten dabei eine Diversifizierung der Zugriffstechniken beobachten. Einerseits High-End-Attacken wie dem SolarWinds-Supply-Chain-Angriff und andererseits niederschwellige Angriffe wie dem mit dem neuen FriarFox-Browser-Plugin. Gefährliche Browser-Plugins sind nichts Neues, aber sie sind eine häufig vernachlässigte Angriffsfläche vieler Unternehmen. Und es war eine Überraschung zu sehen, dass eine mit dem chinesischen Staat in Verbindung stehende APT-Gruppe diese Methode anwendet.
Während wir bereits festgestellt haben, dass APT TA413 dieses neue Tool zum Einsatz gebracht hat, um auf Gmail-Konten zuzugreifen und bedrohte tibetische Dissidenten auszuspionieren, ist es sehr gut möglich, dass auch weitere Cyberkriminelle diese Technik nutzen, um sowohl öffentliche als auch private Organisationen auf der ganzen Welt anzugreifen. Die komplexe Verbreitungsmethode des Tools, das wir als FriarFox-Browsererweiterung bezeichnen, gewährt diesen APT-Gruppen nahezu vollständigen Zugriff auf die Gmail-Konten ihrer Opfer. Dies ist besonders problematisch, da E-Mail-Konten zu den wertvollsten Ressourcen gehören, wenn es um menschliche Kommunikation geht.
Fast jedes andere Passwort kann damit zurückgesetzt werden, sobald ein Angreifer Zugriff auf das E-Mail-Konto einer Person erhält. Cyberkriminelle sind somit außerdem in der Lage die kompromittierten E-Mail-Konten zu nutzen, um von diesen aus gefälschte E-Mails zu verschicken, indem sie die E-Mail-Signatur und die Kontaktliste des betroffenen Nutzers missbrauchen. Dieses Vorgehen lässt solche Nachrichten äußerst überzeugend erscheinen."
Weitere Details und Näheres zur Analyse der neuen FriarFox-Browsererweiterung finden Sie im aktuellen Blogbeitrag von Proofpoint
Mehr zu Proofpoint unter: Twitter | LinkedIn | Facebook | YouTube
[i]Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber. [/i]
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com