Malware ScanBox

ScanBox Malware është një kërcënim që mund të përdoret nga kriminelët kibernetikë për të kryer veprime të shumta ndërhyrëse në pajisjet e shkelura. Kërcënimi lidhet kryesisht me aktivitetet e organizatave të hakerave të mbështetura nga Kina. Disa nga aktorët më të dukshëm të kërcënimit që kanë vendosur kornizat ScanBox si pjesë e fushatave të tyre të sulmit përfshijnë APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) dhe TA413 (Lucky Cat). Sipas një raporti nga studiues të sigurisë kibernetike, ScanBox kohët e fundit ka qenë një komponent thelbësor i një serie sulmesh phishing të kryera nga APT40. Ky grup kriminal kibernetik njihet edhe si TA423, Red Ladon dhe Leviathan.

Sulmet u përqendruan kryesisht në agjencitë qeveritare australiane, kompanitë australiane të lajmeve dhe mediave, si dhe prodhuesit ndërkombëtarë të industrisë së rëndë që operojnë në Detin e Kinës Jugore. APT40 ka një model të vendosur të shënjestrimit të subjekteve në rajonin Azi-Paqësor dhe, më konkretisht, në Detin e Kinës Jugore. Në vitin 2021, qeveria amerikane deklaroi se ka prova se ky grup i veçantë APT (Kërcënimi i Përparuar i Përparuar) ka lidhje me Ministrinë e Sigurisë Shtetërore të Kinës.

Detajet e sulmit

Sulmet ScanBox fillojnë me shpërndarjen e emaileve phishing që përmbajnë një URL që çon në një domen të kontrolluar nga hakerat. Kriminelët kibernetikë do të pretendonin se janë punonjës të një kompanie të fabrikuar publikimesh australiane të quajtur 'Australian Morning News'. Ata do t'u kërkonin objektivave të ndajnë përmbajtjen e kërkimit që do të publikohej nga kompania e rreme ose të shikonin faqen e saj të internetit duke ndjekur një lidhje URL të dhënë.

Faqja e uljes së faqes së internetit është krijuar për të ofruar një ngarkesë JavaScript të kornizës ScanBox tek objektivi. Ky komponent fillestar mund të mbledhë informacione të ndryshme në lidhje me kompjuterin e viktimës - kohën aktuale, gjuhën e shfletuesit, versionin e instaluar të Flash, vendndodhjen gjeografike, gjerësinë dhe lartësinë e ekranit, çdo kodim karakteri dhe më shumë. Të gjitha të dhënat e marra transmetohen në serverin Command-and-Control (C&C, C2C) të operacionit.

C&C do të dërgojë një përgjigje që përmban udhëzime se cilat shtojca të dëmtuara duhet të merren dhe ekzekutohen në shfletuesin e viktimës. Modulet janë krijuar për të kryer detyra specifike, në varësi të qëllimeve të sakta të sulmuesve. Studiuesit e sigurisë kibernetike kanë identifikuar shtojca të shumta të tilla për regjistrimin e tasteve, gjurmët e gishtave të shfletuesit, lidhjen e kolegëve, një shtojcë që kontrollon për mjete specifike sigurie dhe anti-malware, dhe një shtojcë që mund të identifikojë shtojcat e instaluara në mënyrë legjitime të shfletuesit.