ScanBox Malware
Sikkerhedsforskere med Proofpoint offentliggjorde deres resultater om en lang spionagekampagne udført af en kinesisk trusselsaktør. Gruppen brugte et ondsindet værktøj kaldet ScanBox.
Trusselsaktøren bag ScanBox-kampagnen var rettet mod enheder i Asien, Europa og Australien, og ofrene omfatter statslige enheder, medier og industrivirksomheder. Forskere mener, at angrebet blev udført af trusselsaktøren kendt under aliasserne APT40 og Leviathan.
ScanBox malware blev distribueret ved hjælp af ondsindede e-mails, der udgjorde sygemeldinger eller anmodninger om samarbejde. De ondsindede aktører ejede og drev domænet, der blev brugt i angrebene, tilhørende et falsk mediefirma kaldet "Australian Morning News". E-mails ville nogle gange indeholde et link til den hacker-kontrollerede hjemmeside under påskud af, at ofrene kunne dele indhold til offentliggørelse.
ScanBox bruger JavaScript og kan levere yderligere ondsindede nyttelaster. Malwaren indlæser også plugins inde i offerets browser, der giver mulighed for tastetrykslogning, kommunikation mellem kompromitterede systemer og søgning efter installeret antivirussoftware.
Senere angreb ved hjælp af ScanBox var afhængige af ondsindede kontordokumenter, der ville udløse en flertrins infektionskæde, der i sidste ende leverede ScanBox-nyttelasten.
