Ursprung der Attacke waren Phishing-Mails, die eine manipulierte URL enthielten, die als YouTube-Link getarnt war. Anstatt zum Videoportal gelangten die Opfer jedoch zu einer gefälschten Update-Seite des Adobe Flash Players, auf der verschiedene JavaScript-Dateien ausgeführt wurden. Dadurch erfolgte ein Selektionsprozess, bei dem überprüft wurde, ob der jeweilige Besucher der Seite überhaupt zur Zielgruppe gehört, also Gmail-Nutzer ist und gerade über Firefox auf sein Konto zugreift. War das der Fall, wurde die Friar-Fox-Malware ausgespielt und der Download begann. Danach mussten die Nutzer der Installation der Browser-Erweiterung allerdings noch zustimmen, weshalb diese sich im entsprechenden Dialogfeld als „Flash update components“ ausgab. Bei einem erfolgreichen Angriff kontaktierte FriarFox dann einen Server der Kriminellen, um mit Scanbox die zweite Komponente des Angriffs herunterzuladen. Diese Spionage-Software ermöglichte es dann, weitere Informationen über das System des Opfers herauszufinden.
Den Ursprung der Attacken konnten die Sicherheitsforscher zu einem bekannten Gmail-Account der chinesischen Hackergruppe TA413 zurückverfolgen. Von diesem Account wurden die Phishing-Mails der aktuellen Kampagne an verschiedene Organisationen in Tibet verschickt. Absender sollte das Büro des Dalai Lama in Indien sein. Es ist anzunehmen, dass mit den von FriarFox gewonnenen Informationen politischer Druck ausgeübt werden sollte. In anderen Kampagnen wurde FriarFox bislang noch nicht beobachtet, wobei die Betonung auf bislang liegt, denn die Möglichkeiten der Malware ließen sich auch leicht zur Industriespionage einsetzen, insbesondere da immer mehr Unternehmen unterschiedlicher Größe Gmail für ihre E-Mail-Kommunikation nutzen.
Um sich vor solchen Attacken zu schützen, empfiehlt es sich, ohne Administratorrechte ins Netz zu gehen. Malware hat so kaum eine Chance, sich im Hintergrund zu installieren. Auch wenn diese Maßnahme für den Systemadministrator eventuell Mehrarbeit bedeutet. Wenn nur er in der Lage ist, neue Programme zu installieren, führt allein diese Maßnahme bereits zu einer deutlich verbesserten Sicherheit. Für Unternehmen empfiehlt es sich außerdem, eine Update-Routine zu etablieren, damit einzelne Nutzer nicht in die Versuchung kommen, Updates aus womöglich nicht vertrauenswürdigen Quellen zu installieren. In diesem speziellen Fall kommt hinzu, dass der Flash-Player von Adobe zum 31.12.2020 eingestellt wurde – neue Updates sind damit nicht zu erwarten und die Software, die bereits in der Vergangenheit anfällig für Hackerattacken war, sollte umgehend von allen Rechnern deinstalliert werden.