СцанБок Малваре
СцанБок Малваре је претња коју сајбер криминалци могу да користе за обављање бројних, наметљивих радњи на оштећеним уређајима. Претња је углавном повезана са активностима хакерских организација које подржавају Кинези. Неки од значајнијих актера претњи који су применили СцанБок оквире као део својих кампања напада укључују АПТ10 (Црвени Аполо, Стоне Панда), АПТ27 (Емиссари Панда, Луцки Моусе, Ред Пхоеник) и ТА413 (Луцки Цат). Према извештају истраживача сајбер безбедности, СцанБок је недавно био кључна компонента серије пхисхинг напада које је спровео АПТ40. Ова група сајбер криминалаца је позната и као ТА423, Црвени Ладон и Левијатан.
Напади су првенствено били фокусирани на аустралијске владине агенције, аустралијске новинске и медијске компаније, као и на међународне произвођаче тешке индустрије који послују у Јужном кинеском мору. АПТ40 има успостављен образац циљања ентитета у азијско-пацифичком региону и, тачније, у Јужном кинеском мору. Још 2021. године, америчка влада је изјавила да постоје докази да ова група АПТ (Адванцед Персистент Тхреат) има везе са Министарством државне безбедности Кине.
Детаљи напада
Напади СцанБок-а почињу ширењем пхисхинг порука е-поште које садрже УРЛ који води до домена који контролишу хакери. Сајбер-криминалци би се претварали да су запослени у измишљеној аустралској медијској компанији под називом „Аустралиан Морнинг Невс“. Тражили би од мета да поделе истраживачки садржај који ће објавити лажна компанија или да погледају њену веб страницу пратећи дату УРЛ везу.
Одредишна страница веб локације је дизајнирана да испоручи ЈаваСцрипт корисни терет СцанБок оквира до циља. Ова почетна компонента може прикупити различите информације о рачунару жртве - тренутно време, језик претраживача, инсталирану Фласх верзију, геолокацију, ширину и висину екрана, било које кодирање знакова и још много тога. Сви добијени подаци се преносе на командно-контролни (Ц&Ц, Ц2Ц) сервер операције.
Ц&Ц ће послати одговор који садржи упутства о томе које оштећене додатке треба преузети и извршити у претраживачу жртве. Модули су дизајнирани да извршавају специфичне задатке, у зависности од тачних циљева нападача. Истраживачи сајбер-безбедности су идентификовали више таквих додатака за кеилоггинг, отиске прстију претраживача, пеер конекцију, додатак који проверава специфичне безбедносне и анти-малвер алате и додатак који може да идентификује легитимно инсталиране додатке претраживача.
