Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.
Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.
Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.
Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.
Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.
Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.
Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.
Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.
Sumber: ZDNet