Фахівці компанії Proofpoint розповіли про китайське кіберзлочинне угруповання, яке зламували облікові записи Gmail за допомогою розширення для браузера.

За даними дослідників, хакерська діяльність була активна з січня по лютий 2021 року. Атакували тибетські організації по всьому світу, використовуючи шкідливе розширення для Firefox, яке викрадало дані Gmail і Firefox, а потім завантажувало вірус у заражені системи.

Дослідники розповідають, що зловмисники атакували тибетські організації за допомогою цільових фішингових листів, які заманювали жертв на підставні сайти, де їм пропонували встановити фейкове оновлення для Flash, яке нібито необхідне для перегляду контенту.

Сам сайт, на який заходили жертви, містив код, який розділяв користувачів на групи – з активним сеансом на поштовому сервісі Gmail та без нього. Хакерів цікавила саме перша група, якій надалі пропонували розширення Flash update components, яке насправді являло собою варіацію легітимного розширення Gmail notifier (restartless), і було здатне зловживати наступними функціями:

Доступ до Gmail:

  • Шукати електронні листи;
  • Читати електронні листи;
  • Архівувати електронні листи;
  • Отримувати повідомлення Gmail;
  • Змінювати функції звукових і візуальних оповіщень в браузері Firefox;
  • Позначати електронні листи;
  • Оновлювати папку “Вхідні”;
  • Пересилати листів;
  • Позначати електронні листи як спам;
  • Видаляти повідомлення;
  • Видалити повідомлення з кошика;
  • Надсилати пошту зі зламаної пошти.

Доступ до браузера FireFox – (на основі дозволів браузера):

  • Доступ до даних користувача для всіх сайтів;
  • Показ повідомлень;
  • Доступ до перегляду та зміни налаштувань конфіденційності;
  • Доступ до вкладок браузера.

Однак на цьому атака не закінчувалася. Розширення також завантажувало і встановлювало на заражений комп’ютер вірус ScanBox. Це старий шкідливий інструмент на базі PHP і JavaScript, який вже багато разів використовувався в атаках китайських хакерів. Останній зареєстрований випадок використання ScanBox датується 2019 роком, коли аналітики Recorded Future помітили атаки на відвідувачів пакистанських і тибетських сайтів.

ScanBox може відстежувати відвідувачів певних сайтів, зчитувати натискання клавіш на клавіатурі комп’ютера, рух і натискання клавіш миші, а також красти призначені для користувача дані, які можуть бути використані в майбутніх атаках.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple MacВін отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.