根據網絡安全公司 Proofpoint 近期發布的調查報告，一個代號為 TA413 的組織近日利用惡意的 Firefox 插件，竊取 Gmail 和 Firefox 瀏覽器數據，然后在受感染的設備下載惡意軟件。Proofpoint 表示該黑客組織使用魚叉式釣魚郵件來引誘用戶點擊，并提示他們安裝 Flash 更新以查看網站內容。

Proofpoint 團隊表示，雖然該擴展名為“Flash更新組件”，但實際上是“Gmail notifier (restartless)”的合法版本，并添加了額外的惡意代碼。根據研究團隊的說法，這段代碼可以在受感染的瀏覽器上濫用以下功能：

● 搜索郵件

● 歸檔郵件

● 接收 Gmail 通知

● 閱讀郵件

● 改變 Firefox 瀏覽器聲音和視覺警告功能

● 給郵件貼標簽

● 將郵件標記為垃圾郵件

● 刪除信息

● 刷新收件箱

● 轉發郵件

● 執行功能搜索

● 從 Gmail 垃圾桶中刪除郵件

● 從被盜賬戶發送郵件

● 從 Firefox 訪問所有網站的用戶數據

● 提取 Firefox 的屏幕通知

● 讀取和修改 Firefox 的隱私設置

● 訪問瀏覽器標簽

但攻擊并沒有就此停止。Proofpoint 表示，該擴展還在受感染的系統上下載并安裝了 ScanBox 惡意軟件。這種惡意軟件是一個基于 PHP 和 JavaScript 的偵察框架，是一種在中國網絡間諜組織之前進行的攻擊中看到的老工具。