Malware ScanBox

ScanBox Malware è una minaccia che può essere utilizzata dai criminali informatici per eseguire numerose azioni intrusive sui dispositivi violati. La minaccia è per lo più associata alle attività di organizzazioni di hacker sostenute dalla Cina. Alcuni dei più importanti attori delle minacce che hanno implementato i framework ScanBox come parte delle loro campagne di attacco includono APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) e TA413 (Lucky Cat). Secondo un rapporto di ricercatori di cybersecurity, ScanBox è stato più recentemente una componente cruciale di una serie di attacchi di phishing effettuati da APT40. Questo gruppo di criminali informatici è anche conosciuto come TA423, Red Ladon e Leviathan.

Gli attacchi si sono concentrati principalmente su agenzie governative australiane, società di notizie e media australiane, nonché produttori internazionali dell'industria pesante che operano nel Mar Cinese Meridionale. APT40 ha un modello consolidato di targeting per entità nella regione Asia-Pacifico e, più specificamente, nel Mar Cinese Meridionale. Già nel 2021, il governo degli Stati Uniti ha dichiarato che ci sono prove che questo particolare gruppo APT (Advanced Persistent Threat) abbia legami con il Ministero della Sicurezza di Stato cinese.

Dettagli dell'attacco

Gli attacchi ScanBox iniziano con la diffusione di e-mail di phishing contenenti un URL che porta a un dominio controllato da hacker. I criminali informatici pretenderebbero di essere un dipendente di una società di pubblicazione di media australiana inventata chiamata "Australian Morning News". Chiederebbero ai target di condividere contenuti di ricerca da pubblicare dalla falsa azienda o di visualizzare il suo sito Web seguendo un collegamento URL fornito.

La pagina di destinazione del sito Web è progettata per fornire un payload JavaScript del framework ScanBox al target. Questo componente iniziale può raccogliere varie informazioni sul computer della vittima: ora corrente, lingua del browser, versione Flash installata, geolocalizzazione, larghezza e altezza dello schermo, qualsiasi codifica dei caratteri e altro. Tutti i dati ottenuti vengono trasmessi al server Command-and-Control (C&C, C2C) dell'operazione.

Il C&C invierà una risposta contenente le istruzioni su quali plug-in danneggiati devono essere recuperati ed eseguiti nel browser della vittima. I moduli sono progettati per eseguire compiti specifici, a seconda degli obiettivi esatti degli attaccanti. I ricercatori della sicurezza informatica hanno identificato diversi plug-in di questo tipo per keylogging, fingerprinting del browser, connessione peer, un plug-in che verifica specifici strumenti di sicurezza e anti-malware e un plug-in in grado di identificare i plug-in del browser legittimamente installati.