又有假冒Flash Player更新的攻击出现了！这次是中国骇客用来锁定图博组织下手

已经自2020年底终止支援的Flash Player，竟然成为骇客用来发动攻击的诱饵！近期以升级这个软件做为诱饵，来借此入侵用户电脑的行径，可说是时有所闻。例如，资安新闻网站Bleeping Computer日前发现，疑似有骇客利用Google快讯（Google Alerts）发送钓鱼讯息，借此在用户电脑安装垃圾软件，所推送的讯息就是佯称用户电脑的Flash Player过期，必须下载更新程式。

但不到一个星期，这种诱饵再度传出遭到利用，而且是锁定特定目标的攻击行动。资安厂商Proofpoint的威胁研究团队于2月25日，揭露一波在2021年1月至2月，中国骇客TA413针对全球图博（Tibet）组织发动的网络钓鱼攻击。骇客借由冒牌的YouTube网站，以要求更新Flash Player的名义，针对图博用户的Firefox浏览器安装恶意插件FriarFox，企图控制他们的Gmail账号。针对这起攻击，Proofpoint提供了入侵指标（IOC），包含恶意URL、网域、IP地址，以及FriarFox的SHA256杂凑值等资讯，供企业侦测有关攻击之用。

由于Adobe不只终止支援Flash，2021年1月12日起，所有网页上的Flash内容也会停止运作，Google、Mozilla等浏览器业者也相继停止支援Flash。而对于想要播放这类内容的用户，便很有可能上了骇客的当，依照指示安装恶意软件。

至于这起攻击行动与过往出现的事故有什么不同？首先，攻击者透过钓鱼邮件开始发动攻击，并将受害者带往冒牌YouTube网站，进而要求使用者安装假的Flash Player更新程式。但有别于许多钓鱼攻击，他们的目标是针对特定的浏览器。不过，此次骇客并非针对较多人使用的Chrome，而是锁定Firefox。

若是Firefox用户信以为真，攻击者就会要求下载冒牌Flash Player更新软件，一旦用户依照指示安装，该冒牌更新软件就会检查用户是否登入Gmail，假若用户已有登入才会安装成功，反之，则会显示无法安装的讯息。

不过，这个冒牌的更新软件，实际上骇客是从名为Gmail Notifier的合法插件改造而来。他们加入了恶意程式码，并将该插件命名为Flash更新元件（Flash Update Components）。一旦用户依照指示安装，该外挂就会将使用者引导至Tibet[.]net网站，同时浏览器还会显示“Flash更新元件已经加到Firefox”的讯息。

但在此同时，这个插件同时在背景下载、并在受害电脑植入ScanBox和Sepulcher恶意程式，前者是利用PHP和JavaScript打造的通讯框架，后者则是骇客以武汉肺炎为诱饵的攻击工具，而这2个恶意程式都曾经被中国骇客组织滥用。而在解析插件与钓鱼邮件后，Proofpoint认为此起攻击是由中国-资助的骇客组织TA413所为。