Hacker Cina Memata-matai Organisasi Tibet Menggunakan Ekstensi Firefox

Hacker Cina Memata-matai Organisasi Tibet Menggunakan Ekstensi Firefox


Peneliti keamanan siber pada bulan Maret lalu membuka kampanye baru yang ditujukan untuk memata-matai komunitas Tibet yang rentan secara global dengan menggunakan ekstensi Firefox yang berbahaya pada sistem target.


"Pelaku ancaman yang selaras dengan kepentingan negara Partai Komunis China mengirimkan ekstensi browser Mozilla Firefox yang diubahsuaikan yang memfasilitasi akses dan kontrol akun Gmail pengguna," 

kata Proofpoint dalam sebuah analisis.


Perusahaan keamanan yang berbasis di Sunnyvale menyematkan operasi phishing pada ancaman persisten lanjutan (APT) China yang dilacaknya sebagai TA413, yang sebelumnya dikaitkan dengan serangan terhadap diaspora Tibet dengan memanfaatkan umpan bertema COVID untuk mengirimkan malware Sepulcher dengan strategi tujuan spionase dan pengawasan pembangkang sipil.


Para peneliti mengatakan serangan itu terdeteksi pada Januari dan Februari 2021, sebuah pola yang berlanjut sejak Maret.


Rantai infeksi dimulai dengan email phishing yang meniru "Asosiasi Wanita Tibet" menggunakan akun Gmail tertaut TA413 yang dikenal menyamar sebagai Biro Yang Mulia Dalai Lama di India.


Email tersebut berisi URL berbahaya, yang seharusnya merupakan tautan ke YouTube, padahal sebenarnya, ini membawa pengguna ke halaman arahan "Pembaruan Adobe Flash Player" palsu di mana mereka diminta untuk memasang ekstensi Firefox yang oleh Proofpoint disebut "FriarFox."


Untuk bagiannya, ekstensi nakal - bernama "Komponen pembaruan Flash" - menyamar sebagai alat yang berhubungan dengan Adobe Flash, tetapi para peneliti mengatakan itu sebagian besar didasarkan pada alat sumber terbuka bernama "Gmail Notifier (restart)" dengan perubahan signifikan yang menambahkan kemampuan jahat, termasuk memasukkan versi modifikasi dari file yang diambil dari ekstensi lain seperti Checker Plus untuk Gmail.



Waktu pengembangan ini bukanlah kebetulan, karena Adobe secara resmi mulai memblokir konten Flash agar tidak berjalan di browser mulai 12 Januari setelah berakhirnya masa pakai format multimedia yang kaya pada 31 Desember 2020.


Hacker Cina Memata-matai Organisasi Tibet Menggunakan Ekstensi Firefox


Menariknya, tampaknya operasi tersebut hanya menargetkan pengguna Peramban Firefox yang juga masuk ke akun Gmail mereka, karena pengaya tersebut tidak pernah dikirimkan dalam skenario ketika URL yang dipermasalahkan dikunjungi di peramban seperti Google Chrome atau di kasus di mana akses terjadi melalui Firefox, tetapi korban tidak memiliki sesi Gmail aktif.


"Dalam kampanye baru-baru ini yang diidentifikasi pada Februari 2021, domain pengiriman ekstensi browser telah mendorong pengguna untuk 'Beralih ke Browser Firefox' saat mengakses domain berbahaya menggunakan Browser Google Chrome," kata para peneliti.


Setelah diinstal, ekstensi tersebut, selain memiliki akses ke tab browser dan data pengguna untuk semua situs web, dilengkapi dengan fitur untuk mencari, membaca,


Selain itu, FriarFox juga menghubungi server yang dikendalikan penyerang untuk mengambil muatan berbasis PHP dan JavaScript yang disebut Scanbox.


Scanbox adalah kerangka kerja pengintaian yang memungkinkan penyerang melacak pengunjung ke situs web yang disusupi, menangkap penekanan tombol, dan mengumpulkan data yang dapat digunakan untuk mengaktifkan penyusupan lanjutan. Itu juga telah dilaporkan telah dimodifikasi untuk mengirimkan malware tahap kedua pada host yang ditargetkan.


Kampanye menggunakan Scanbox sebelumnya terlihat pada Maret 2019 oleh Recorded Future menargetkan pengunjung ke situs web Direktorat Jenderal Imigrasi dan Paspor (DGIP) Pakistan dan domain typosquatted palsu yang mengklaim sebagai Central Tibetan Administration (CTA) resmi.


Pengenalan ekstensi browser FireFox di gudang senjata TA413 menunjukkan "rasa lapar yang tak terpuaskan" bagi para aktor APT untuk mengakses akun email berbasis cloud, kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman Proofpoint.


"Metode pengiriman alat yang kompleks memberi aktor APT ini akses hampir total ke akun Gmail korban mereka, yang sangat mengganggu karena akun email benar-benar merupakan salah satu aset bernilai tertinggi dalam hal kecerdasan manusia," DeGrippo mencatat.


"Hampir semua kata sandi akun lain dapat disetel ulang setelah penyerang memiliki akses ke akun email seseorang. Pelaku ancaman juga dapat menggunakan akun email yang disusupi untuk mengirim email dari akun itu menggunakan tanda tangan email dan daftar kontak pengguna,

Related Posts

Subscribe Our Newsletter