Вредоносный код содержался в рекламном блоке, расположенном на одном из русских новостных интернет-ресурсов (его адрес не приводится).

«Баг Firefox допускает возможность искать и закачивать с компьютеров пользователей потенциально „чувствительные“ файлы». В блоге Mozilla отмечается, что уязвимое место найдено было в механизме браузера, разделяющего контекст javascript, кроме этого просмотрщик PDF-файлов, интегрированный в Firefox. В последней версии браузера, 39.0.3, эта «дыра» была закрыта. Версии Mozilla, в которых этого просмотрщика нет (например, Mozilla для Android), угрозе не подверглись. В частности, его интересовали конфигурационные файлы «восьми популярных» FPT-клиентов и «облачного» хранилища Amazon S3, а также данные об аккаунтах.purple и Psi+. В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории.ssh, настроек remina, Filezilla и Psi+, кроме этого текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов. Эти сведения потом отсылались на дистанционный сервер.

http://ros.biz/news/mozilla_soobschili_skazali_ob_atake_na_rossiyskih_russkih_08072015/