Дослідники розповідають, що зловмисники атакували тибетські організації за допомогою цільових фішингових листів, які заманювали жертв на підставні сайти, де їм пропонували встановити фейкове оновлення для Flash, яке нібито необхідне для перегляду контенту.
Цікаво Простий пароль міг стати причиною хакерської атаки на компанію SolarWinds
Що робив вірус
Сам сайт, на який заходили жертви, містив код, який розділяв користувачів на групи – з активним сеансом на поштовому сервісі Gmail та без нього. Хакерів цікавила саме перша група, якій надалі пропонували розширення Flash update components, яке насправді являло собою варіацію легітимного розширення Gmail notifier (restartless), і було здатне зловживати наступними функціями:
У Gmail:
- Шукати електронні листи
- Читати електронні листи
- Архівувати електронні листи
- Отримувати повідомлення Gmail
- Змінювати функції звукових і візуальних оповіщень в браузері Firefox
- Позначати електронні листи
- Оновлювати папку "Вхідні"
- Пересилати листів
- Позначати електронні листи як спам
- Видаляти повідомлення
- Видалити повідомлення з кошика
- Надсилати пошту зі зламаної пошти
Firefox (залежно від наданих прав):
- Доступ до даних користувача для всіх сайтів
- Показ повідомлень
- Доступ до перегляду та зміни налаштувань конфіденційності
- Доступ до вкладок браузера
Однак на цьому атака не закінчувалася. Розширення також завантажувало і встановлювало на заражений комп'ютер вірус ScanBox. Це старий шкідливий інструмент на базі PHP і JavaScript, який вже багато разів використовувався в атаках китайських хакерів. Останній зареєстрований випадок використання ScanBox датується 2019 роком, коли аналітики Recorded Future помітили атаки на відвідувачів пакистанських і тибетських сайтів.
ScanBox може відстежувати відвідувачів певних сайтів, зчитувати натискання клавіш на клавіатурі комп'ютера, рух і натискання клавіш миші, а також красти призначені для користувача дані, які можуть бути використані в майбутніх атаках.