中国国家资助的黑客利用一个恶意的Firefox插件，在全世界范围内攻击藏人组织，该插件被配置为窃取Gmail和Firefox浏览器数据，然后在受感染的系统上下载恶意软件。

网络安全公司Proofpoint本月发现的这些攻击，已链接到公司跟踪的代号为TA413

仅针对Firefox用户

Proofpoint说，攻击者针对的是西藏组织通过“鱼叉”式网络钓鱼邮件，网站会提示会员安装Flash更新以查看网站内容。

这些网站包含分隔用户的代码。只有拥有活跃Gmail会话的Firefox用户才会被提示安装恶意插件。

Proofpoint团队表示，虽然该扩展名为“Flash update components”，但它实际上是合法的“Gmail notifier（restartless）”插件的一个版本，带有额外的恶意代码。根据研究小组的说法，此代码可能在受感染的浏览器上滥用以下功能：

Gmail:

• 搜索电子邮件
• 存档电子邮件
• 接收Gmail通知
• 阅读电子邮件
• 更改Firefox浏览器音频和视频警报功能
• 标记电子邮件为垃圾邮件
• 删除邮件
• 刷新收件箱
• 转发邮件
• 执行功能搜索
• 从Gmail垃圾中删除邮件
• 从受损帐户发送邮件

Firefox（基于授予的浏览器权限）：

但攻击并未在此停止。Proofpoint说，该扩展还下载并安装了https://malpedia.caad.fkie.fraunhofer.de/details/js.scanbox“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>ScanBox恶意软件在受感染的系统上。

一个基于PHP和JavaScript的侦察框架，这个恶意软件是一个旧工具在之前中国网络间谍组织发动的攻击中。

“自2014年以来，Scanbox已被用于许多针对西藏侨民以及其他少数民族的活动，这些少数民族通常是与中国国家利益相一致的组织的目标，“Proofpoint在今天的一份报告中说，

最近一次记录的扫描箱攻击案例可以追溯到2019年，当时记录的是未来的已报告2021年1月12日Proofpoint还看到了第一批针对西藏组织的TA413 FriarFox活动。

>6个以上，700台VMware服务器在线暴露，易受重大新漏洞攻击

飞机制造商庞巴迪FTA黑客攻击后发布在勒索软件泄露网站上的数据，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer