ScanBox rosszindulatú program

A Proofpoint biztonsági kutatói közzétették eredményeiket egy kínai fenyegetőző által folytatott hosszú kémkampányról. A csoport a ScanBox nevű rosszindulatú eszközt használta.

A ScanBox kampány mögött álló fenyegetés szereplői Ázsiában, Európában és Ausztráliában támadtak, és az áldozatok között kormányzati szervek, médiák és ipari vállalatok is szerepeltek. A kutatók úgy vélik, hogy a támadást az APT40 és Leviathan álnéven ismert fenyegető szereplő követte el.

A ScanBox kártevőt rosszindulatú e-mailekkel terjesztették, amelyek betegszabadságra vonatkozó értesítésnek vagy együttműködési kérésnek tűntek. A rosszindulatú szereplők birtokolták és üzemeltették a támadásokhoz használt domaint, amely az "Australian Morning News" nevű hamis médiavállalathoz tartozik. Az e-mailek néha tartalmaztak egy linket a hackerek által ellenőrzött webhelyre, azzal az ürüggyel, hogy az áldozatok tartalmat oszthatnak meg közzététel céljából.

A ScanBox JavaScriptet használ, és további rosszindulatú rakományokat szállíthat. A kártevő beépülő modulokat is betölt az áldozat böngészőjébe, amelyek lehetővé teszik a billentyűleütések naplózását, a feltört rendszerek közötti kommunikációt és a telepített víruskereső szoftverek ellenőrzését.

A ScanBoxot használó későbbi támadások rosszindulatú irodai dokumentumokon alapultak, amelyek többlépcsős fertőzési láncot váltottak ki, és végül eljuttatták a ScanBox hasznos terhét.