Peneliti Ungkap Hacker Tiongkok Gunakan Ekstensi Browser dan Malware untuk Retas Gmail, Targetkan Tibet
Ilustrasi via Twitter
Cyberthreat.id – Peneliti dari perusahaan keamanan ProofPoint mengungkapkan kelompok APT Tiongkok, yang disebut TA413 menggunakan ekstensi browser untuk meretas akun Gmail korbannya.
APT Tiongkok ini diketahui sudah aktif selama lebih satu dekade, dan aktif melakukan peretasan, yang dikaitkan dengan malware LuckyCat dan ExileRAT. Mereka diketahui secara khusus menargetkan komunitas Tibet.
Dikutip dari Security Week (, peneliti menemukan bahwa pada awal 2021 TA413 sedang berusaha meretas akun Gmail milik organisasi Tibet dengan menggunakan ekstensi peramban yang berbahaya.
Selama Januari dan Februari 2021, kelompok APT ini diamati mengirimkan ekstensi FriarFox, yang digunakan untuk secara khusus menargetkan browser Firefox dan memberi penyerang akses dan kontrol ke akun Gmail korban. Mereka juga diketahui menggunakan malware lainnya seperti Scanbox dan Sepulcher.
ProofPoint mengatakan, dalam sebuah email phising yang digunakan dalam serangan di bulan Januari, kelompok ini menggunakan email berisi tautan yang mengarah ke laman bertema pembaruan Adobe Flash Player palsu yang dirancang untuk menjalankan kode JavaScript pada sistem korban. Kode tersebut akan mengirimkan ekstensi berbahaya FriarFox, dengan catatan korban menggunakan Firefox untuk membuka tautan tersebut.
Alur serangan yang dilakukan | Sumber: Proofpoint
Setelah ekstensi dipasang, penyerang memperoleh akses penuh ke akun Gmail korban, dapat mencari email, mengarsipkan pesan, membaca email, menerima pemberitahuan, memberi label email, menandai pesan sebagai spam, menghapus email, me-refresh kotak masuk, meneruskan email, ubah peringatan di browser, menghapus email dari folder Sampah, dan kirim email.
FriarFox sendiri merupakan versi modifikasi dari ekstensi browser sumber terbuka Gmail Notifier, yang memungkinkan penjahat siber mengakses data pengguna untuk semua situs web, membaca dan mengubah pengaturan privasi, menampilkan pemberitahuan, dan mengakses tab yang dibuka di browser.
Penggunaan kerangka pengintaian Scanbox diketahui telah digunakan oleh aktor ancaman China lainnya dan bahkan OceanLotus yang terkait dengan Vietnam.
Berdasarkan analisis kode FriarFox yang dilakukan, Proofpoint menghubungkannya penggunaan ekstensi browser itu ke aktivitas TA413. Peneliti juga menemukan infrastruktur yang digunakan mengungkapkan penargetan terhadap organisasi Tibet sejak awal Januari 2021. Sementara, file berbahaya yang digunakan dalam serangan dibuat menggunakan alat Royal Road, yang juga dikenal dibagikan antara APT Cina.
“Pengenalan ekstensi browser FriarFox di gudang TA413 semakin mendiversifikasi berbagai alat bantu, meskipun secara teknis terbatas. Penggunaan ekstensi browser untuk menargetkan akun Gmail pribadi pengguna dikombinasikan dengan pengiriman malware Scanbox menunjukkan kelenturan TA413 saat menargetkan komunitas yang tidak setuju,” Proofpoint menyimpulkan.[]
Editor: Yuswardi A. Suud
