Threat Database Malware ScanBox Malware

ScanBox Malware

O ScanBox Malware é uma ameaça que pode ser usada pelos cibercriminosos para realizar várias ações intrusivas em dispositivos violados. A ameaça está principalmente associada às atividades de organizações de hackers apoiadas pela China. Alguns dos atores de ameaças mais notáveis que implantaram as estruturas ScanBox como parte de suas campanhas de ataque inclue o APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) e TA413 (Lucky Cat). De acordo com um relatório de pesquisadores de segurança cibernética, o ScanBox tem sido mais recentemente um componente crucial de uma série de ataques de phishing realizados pelo APT40. Este grupo de cibercriminosos também é conhecido como TA423, Red Ladon e Leviathan.

Os ataques foram focados principalmente em agências governamentais australianas, empresas de mídia e notícias australianas, bem como fabricantes internacionais da indústria pesada que operam no Mar da China Meridional. O APT40 tem um padrão estabelecido de direcionamento de entidades na região da Ásia-Pacífico e, mais especificamente, no Mar da China Meridional. Em 2021, o governo dos EUA afirmou que há evidências de que esse grupo específico de APT (Ameaça Persistente Avançada) tem vínculos com o Ministério da Segurança do Estado da China.

Detalhes sobre o Ataque

Os ataques do ScanBox começam com a disseminação de e-mails de phishing contendo uma URL que leva a um domínio controlado por hackers. Os cibercriminosos fingiriam ser funcionários de uma empresa de publicação de mídia australiana fabricada chamada 'Australian Morning News'. Eles pediriam aos alvos para compartilhar conteúdo de pesquisa a ser publicado pela empresa falsa ou visualizar seu site seguindo um link de URL fornecido.

A página de destino do site foi projetada para fornecer uma carga útil JavaScript da estrutura ScanBox ao destino. Esse componente inicial pode coletar várias informações sobre o computador da vítima - hora atual, idioma do navegador, versão do Flash instalada, geolocalização, largura e altura da tela, qualquer codificação de caracteres e muito mais. Todos os dados obtidos são transmitidos ao servidor de Comando e Controle (C&C, C2C) da operação.

O C&C enviará uma resposta contendo instruções sobre quais plugins corrompidos devem ser buscados e executados no navegador da vítima. Os módulos são projetados para executar tarefas específicas, dependendo dos objetivos exatos dos invasores. Os pesquisadores de segurança cibernética identificaram vários desses plug-ins para keylogging, impressão digital do navegador, conexão de pares, um plug-in que verifica específicas ferramentas de segurança e o anti-malware e um plug-in que pode identificar os plug-ins do navegador instalados legitimamente.

Tendendo

Mais visto

Carregando...