根據(jù)網(wǎng)絡(luò)安全公司 Proofpoint 近期發(fā)布的調(diào)查報告，一個代號為 TA413 的組織近日利用惡意的 Firefox 插件，竊取 Gmail 和 Firefox 瀏覽器數(shù)據(jù)，然后在受感染的設(shè)備下載惡意軟件。Proofpoint 表示該黑客組織使用魚叉式釣魚郵件來引誘用戶點擊，并提示他們安裝 Flash 更新以查看網(wǎng)站內(nèi)容。

Proofpoint 團隊表示，雖然該擴展名為“Flash更新組件”，但實際上是“Gmail notifier (restartless)”的合法版本，并添加了額外的惡意代碼。根據(jù)研究團隊的說法，這段代碼可以在受感染的瀏覽器上濫用以下功能：

● 搜索郵件

● 歸檔郵件

● 接收 Gmail 通知

● 閱讀郵件

● 改變 Firefox 瀏覽器聲音和視覺警告功能

● 給郵件貼標(biāo)簽

● 將郵件標(biāo)記為垃圾郵件

● 刪除信息

● 刷新收件箱

● 轉(zhuǎn)發(fā)郵件

● 執(zhí)行功能搜索

● 從 Gmail 垃圾桶中刪除郵件

● 從被盜賬戶發(fā)送郵件

● 從 Firefox 訪問所有網(wǎng)站的用戶數(shù)據(jù)

● 提取 Firefox 的屏幕通知

● 讀取和修改 Firefox 的隱私設(shè)置

● 訪問瀏覽器標(biāo)簽

但攻擊并沒有就此停止。Proofpoint 表示，該擴展還在受感染的系統(tǒng)上下載并安裝了 ScanBox 惡意軟件。這種惡意軟件是一個基于 PHP 和 JavaScript 的偵察框架，是一種在中國網(wǎng)絡(luò)間諜組織之前進行的攻擊中看到的老工具。