Logiciel malveillant ScanBox

Les chercheurs en sécurité de Proofpoint ont publié leurs conclusions sur une longue campagne d'espionnage menée par un acteur menaçant chinois. Le groupe a utilisé un outil malveillant appelé ScanBox.

L'acteur de la menace derrière la campagne ScanBox a ciblé des entités en Asie, en Europe et en Australie et les victimes comprennent des entités gouvernementales, des médias et des entreprises industrielles. Les chercheurs pensent que l'attaque a été menée par l'acteur menaçant connu sous les pseudonymes APT40 et Leviathan.

Le logiciel malveillant ScanBox a été distribué à l'aide d'e-mails malveillants se faisant passer pour des avis de congé de maladie ou des demandes de coopération. Les acteurs malveillants possédaient et exploitaient le domaine utilisé dans les attaques, appartenant à une fausse société de médias appelée "Australian Morning News". Les e-mails contenaient parfois un lien vers le site Web contrôlé par les pirates sous prétexte que les victimes pouvaient partager du contenu pour publication.

ScanBox utilise JavaScript et peut fournir d'autres charges utiles malveillantes. Le logiciel malveillant charge également des plugins dans le navigateur de la victime qui permettent l'enregistrement des frappes, la communication entre les systèmes compromis et la vérification des logiciels antivirus installés.

Les attaques ultérieures utilisant ScanBox reposaient sur des documents de bureau malveillants qui déclencheraient une chaîne d'infection en plusieurs étapes, délivrant finalement la charge utile ScanBox.