根據網絡安全公司Proofpoint近期發布的調查報告，一個代號為TA413的組織近日利用惡意的Firefox插件，竊取Gmail和Firefox瀏覽器數據，然後在受感染的設備下載惡意軟件。Proofpoint表示該黑客組織使用魚叉式釣魚郵件來引誘用戶點擊，並提示他們安裝Flash更新以查看網站內容。

Proofpoint 團隊表示，雖然該擴展名為“Flash更新組件”，但實際上是“Gmail notifier (restartless)”的合法版本，並添加了額外的惡意代碼。根據研究團隊的說法，這段代碼可以在受感染的瀏覽器上濫用以下功能：

● 搜索郵件

● 歸檔郵件

● 接收Gmail 通知

● 閱讀郵件

● 改變Firefox 瀏覽器聲音和視覺警告功能

● 給郵件貼標籤

● 將郵件標記為垃圾郵件

● 刪除信息

● 刷新收件箱

● 轉發郵件

● 執行功能搜索

● 從Gmail 垃圾桶中刪除郵件

● 從被盜賬戶發送郵件

● 從Firefox 訪問所有網站的用戶數據

● 提取Firefox 的屏幕通知

● 讀取和修改Firefox 的隱私設置

● 訪問瀏覽器標籤

但攻擊並沒有就此停止。Proofpoint 表示，該擴展還在受感染的系統上下載並安裝了ScanBox 惡意軟件。這種惡意軟件是一個基於PHP 和JavaScript 的偵察框架，是一種在中國網絡間諜組織之前進行的攻擊中看到的老工具。