Threat Database Malware Programari maliciós ScanBox

Programari maliciós ScanBox

El programari maliciós ScanBox és una amenaça que els ciberdelinqüents poden utilitzar per dur a terme nombroses accions intrusives en dispositius violats. L'amenaça s'associa principalment amb les activitats d'organitzacions de pirateria recolzades per la Xina. Alguns dels actors d'amenaça més notables que han desplegat els marcs ScanBox com a part de les seves campanyes d'atac inclouen APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) i TA413 (Lucky Cat). Segons un informe d'investigadors de ciberseguretat, ScanBox ha estat més recentment un component crucial d'una sèrie d'atacs de pesca realitzats per APT40. Aquest grup cibercriminal també es coneix com TA423, Red Ladon i Leviathan.

Els atacs es van centrar principalment en les agències governamentals australianes, les empreses australianes de notícies i mitjans de comunicació, així com els fabricants internacionals de la indústria pesada que operen al mar de la Xina Meridional. APT40 té un patró establert d'orientació a entitats a la regió Àsia-Pacífic i, més concretament, al mar de la Xina Meridional. L'any 2021, el govern dels EUA va declarar que hi havia proves que aquest grup d'APT (amenaça persistent avançada) en particular té vincles amb el Ministeri de Seguretat de l'Estat de la Xina.

Detalls de l'atac

Els atacs ScanBox comencen amb la difusió de correus electrònics de pesca que contenen una URL que condueix a un domini controlat per pirates informàtics. Els ciberdelinqüents fingirien que són un empleat d'una empresa de publicacions de mitjans australiana fabricada anomenada "Australian Morning News". Demanarien als objectius que comparteixin el contingut d'investigació que publicarà l'empresa falsa o visualitzessin el seu lloc web seguint un enllaç URL proporcionat.

La pàgina de destinació del lloc web està dissenyada per oferir una càrrega útil de JavaScript del marc ScanBox a l'objectiu. Aquest component inicial pot recopilar informació diversa sobre l'ordinador de la víctima: hora actual, idioma del navegador, versió de Flash instal·lada, geolocalització, amplada i alçada de la pantalla, qualsevol codificació de caràcters i molt més. Totes les dades obtingudes es transmeten al servidor de comandament i control (C&C, C2C) de l'operació.

El C&C enviarà una resposta amb instruccions sobre quins connectors danyats s'han d'obtenir i executar al navegador de la víctima. Els mòduls estan dissenyats per realitzar tasques específiques, depenent dels objectius exactes dels atacants. Els investigadors de ciberseguretat han identificat diversos connectors d'aquest tipus per al registre de tecles, empremtes digitals del navegador, connexió entre iguals, un connector que verifica eines específiques de seguretat i anti-malware i un connector que pot identificar els connectors del navegador instal·lats legítimament.

Tendència

Més vist

Carregant...