ScanBox Malware

ScanBox Malware este o amenințare care poate fi folosită de infractorii cibernetici pentru a efectua numeroase acțiuni intruzive pe dispozitivele încălcate. Amenințarea este asociată în principal cu activitățile organizațiilor de hacking susținute de chinezi. Unii dintre cei mai importanți actori de amenințări care au implementat cadrele ScanBox ca parte a campaniilor lor de atac includ APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) și TA413 (Lucky Cat). Potrivit unui raport al cercetătorilor în domeniul securității cibernetice, ScanBox a fost mai recent o componentă crucială a unei serii de atacuri de tip phishing efectuate de APT40. Acest grup de criminali cibernetici este cunoscut și sub numele de TA423, Red Ladon și Leviathan.

Atacurile s-au concentrat în principal asupra agențiilor guvernamentale australiene, companiilor australiene de știri și media, precum și asupra producătorilor internaționali din industria grea care operează în Marea Chinei de Sud. APT40 are un model stabilit de vizare a entităților din regiunea Asia-Pacific și, mai precis, Marea Chinei de Sud. În 2021, guvernul SUA a declarat că există dovezi că acest grup special APT (Advanced Persistent Threat) are legături cu Ministerul Securității de Stat al Chinei.

Detalii despre atac

Atacurile ScanBox încep cu diseminarea de e-mailuri de tip phishing care conțin o adresă URL care duce la un domeniu controlat de hackeri. Infractorii cibernetici ar pretinde că sunt angajați ai unei companii de publicații media australiane fabricate, numită „Australian Morning News”. Ei le-ar cere țintelor să partajeze conținutul cercetării care urmează să fie publicat de compania falsă sau să-și vadă site-ul web urmând un link URL furnizat.

Pagina de destinație a site-ului web este concepută pentru a furniza țintei o încărcare utilă JavaScript a cadrului ScanBox. Această componentă inițială poate colecta diverse informații despre computerul victimei - ora curentă, limba browserului, versiunea Flash instalată, localizarea geografică, lățimea și înălțimea ecranului, orice codificare a caracterelor și multe altele. Toate datele obținute sunt transmise serverului de comandă și control (C&C, C2C) al operațiunii.

C&C va trimite un răspuns care conține instrucțiuni despre care pluginuri corupte trebuie preluate și executate în browserul victimei. Modulele sunt concepute pentru a îndeplini sarcini specifice, în funcție de obiectivele exacte ale atacatorilor. Cercetătorii în domeniul securității cibernetice au identificat mai multe astfel de plugin-uri pentru înregistrarea tastelor, amprentarea browserului, conexiunea de la egal la egal, un plugin care verifică anumite instrumente de securitate și anti-malware și un plugin care poate identifica pluginurile de browser instalate în mod legitim.