Software malicioso ScanBox
Los investigadores de seguridad de Proofpoint publicaron sus hallazgos sobre una larga campaña de espionaje realizada por un actor de amenazas chino. El grupo usó una herramienta maliciosa llamada ScanBox.
El actor de amenazas detrás de la campaña ScanBox apuntó a entidades en Asia, Europa y Australia y las víctimas incluyen entidades gubernamentales, medios de comunicación y empresas industriales. Los investigadores creen que el ataque fue realizado por el actor de amenazas conocido bajo los alias APT40 y Leviathan.
El malware ScanBox se distribuyó mediante correos electrónicos maliciosos que se hacían pasar por avisos de baja por enfermedad o solicitudes de cooperación. Los actores malintencionados poseían y operaban el dominio utilizado en los ataques, perteneciente a una empresa de medios falsa llamada "Australian Morning News". Los correos electrónicos a veces contenían un enlace al sitio web controlado por piratas informáticos con el pretexto de que las víctimas podían compartir contenido para su publicación.
ScanBox usa JavaScript y puede entregar más cargas útiles maliciosas. El malware también carga complementos dentro del navegador de la víctima que permiten el registro de pulsaciones de teclas, la comunicación entre sistemas comprometidos y la verificación de software antivirus instalado.
Los ataques posteriores que utilizaron ScanBox se basaron en documentos de oficina maliciosos que desencadenarían una cadena de infección de varias etapas y, en última instancia, entregarían la carga útil de ScanBox.
