Malvér ScanBox

ScanBox Malware je hrozba, ktorú môžu počítačoví zločinci použiť na vykonávanie mnohých rušivých akcií na narušených zariadeniach. Hrozba je väčšinou spojená s aktivitami hackerských organizácií podporovaných Čínou. Niektorí z najvýznamnejších aktérov hrozieb, ktorí nasadili rámce ScanBox ako súčasť svojich útočných kampaní, zahŕňajú APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) a TA413 (Lucky Cat). Podľa správy výskumníkov v oblasti kybernetickej bezpečnosti bol ScanBox v poslednej dobe kľúčovou súčasťou série phishingových útokov uskutočnených APT40. Táto kyberzločinecká skupina je známa aj ako TA423, Red Ladon a Leviathan.

Útoky boli zamerané predovšetkým na austrálske vládne agentúry, austrálske spravodajské a mediálne spoločnosti, ako aj medzinárodných výrobcov ťažkého priemyslu pôsobiacich v Juhočínskom mori. APT40 má zavedený model zacielenia na subjekty v ázijsko-tichomorskom regióne a konkrétnejšie v Juhočínskom mori. V roku 2021 vláda USA uviedla, že existujú dôkazy, že táto konkrétna skupina APT (Advanced Persistent Threat) má väzby na Ministerstvo štátnej bezpečnosti Číny.

Podrobnosti o útoku

Útoky ScanBox začínajú šírením phishingových e-mailov obsahujúcich adresu URL smerujúcu na doménu kontrolovanú hackermi. Kyberzločinci by predstierali, že sú zamestnancami vymyslenej austrálskej mediálnej spoločnosti s názvom „Australian Morning News“. Požiadali by ciele, aby zdieľali obsah výskumu, ktorý má falošná spoločnosť zverejniť, alebo aby si prezreli jej webovú stránku pomocou poskytnutého odkazu URL.

Vstupná stránka webovej lokality je navrhnutá tak, aby doručila užitočné zaťaženie JavaScriptu rámca ScanBox do cieľa. Tento počiatočný komponent môže zhromažďovať rôzne informácie o počítači obete – aktuálny čas, jazyk prehliadača, nainštalovanú verziu Flash, geolokáciu, šírku a výšku obrazovky, ľubovoľné kódovanie znakov a ďalšie. Všetky získané údaje sa prenášajú na server Command-and-Control (C&C, C2C) operácie.

C&C odošle odpoveď obsahujúcu pokyny o tom, ktoré poškodené doplnky by sa mali stiahnuť a spustiť v prehliadači obete. Moduly sú navrhnuté tak, aby vykonávali špecifické úlohy v závislosti od presných cieľov útočníkov. Výskumníci v oblasti kybernetickej bezpečnosti identifikovali viacero takýchto doplnkov na zaznamenávanie kľúčov, odtlačky prstov prehliadača, partnerské pripojenie, doplnok, ktorý kontroluje špecifické bezpečnostné a antimalvérové nástroje, a doplnok, ktorý dokáže identifikovať legitímne nainštalované doplnky prehliadača.