Threat Database Malware Зловреден софтуер на ScanBox

Зловреден софтуер на ScanBox

Злонамереният софтуер на ScanBox е заплаха, която може да бъде използвана от киберпрестъпниците за извършване на многобройни, натрапчиви действия на пробити устройства. Заплахата е свързана най-вече с дейността на подкрепяни от Китай хакерски организации. Някои от по-забележителните участници в заплахите, които са разположили рамките на ScanBox като част от своите кампании за атака, включват APT10 (Червен Аполон, Каменна панда), APT27 (Емисарска панда, Щастлива мишка, Червен феникс) и TA413 (Щастлива котка). Според доклад на изследователи по киберсигурност, ScanBox напоследък е бил решаващ компонент от поредица от фишинг атаки, извършени от APT40. Тази киберпрестъпна група е известна още като TA423, Red Ladon и Leviathan.

Атаките бяха насочени основно към австралийски правителствени агенции, австралийски новинарски и медийни компании, както и международни производители на тежка промишленост, опериращи в Южнокитайско море. APT40 има установен модел на насочване към субекти в Азиатско-Тихоокеанския регион и по-специално в Южнокитайско море. Още през 2021 г. правителството на САЩ заяви, че има доказателства, че тази конкретна група APT (Advanced Persistent Threat) има връзки с Министерството на държавната сигурност на Китай.

Подробности за атаката

Атаките на ScanBox започват с разпространението на фишинг имейли, съдържащи URL адрес, водещ до домейн, контролиран от хакери. Киберпрестъпниците биха се престрували, че са служители на изфабрикувана австралийска компания за медийни публикации, наречена „Australian Morning News“. Те ще поискат от целите да споделят изследователско съдържание, което да бъде публикувано от фалшивата компания или да видят нейния уебсайт, като следват предоставена URL връзка.

Целевата страница на уебсайта е проектирана да доставя JavaScript полезен товар на рамката ScanBox до целта. Този първоначален компонент може да събира различна информация за компютъра на жертвата – текущо време, език на браузъра, инсталирана версия на Flash, геолокация, ширина и височина на екрана, произволно кодиране на символи и др. Всички получени данни се предават на сървъра за командване и управление (C&C, C2C) на операцията.

C&C ще изпрати отговор, съдържащ инструкции кои повредени добавки трябва да бъдат извлечени и изпълнени в браузъра на жертвата. Модулите са предназначени да изпълняват конкретни задачи, в зависимост от точните цели на нападателите. Изследователите на киберсигурността са идентифицирали множество такива плъгини за keylogging, пръстов отпечатък на браузъра, peer връзка, плъгин, който проверява за специфични инструменти за сигурност и анти-зловреден софтуер, и плъгин, който може да идентифицира законно инсталираните плъгини на браузъра.

Тенденция

Най-гледан

Зареждане...