Malware ScanBox

I ricercatori di sicurezza con Proofpoint hanno pubblicato le loro scoperte su una lunga campagna di spionaggio condotta da un attore di minacce cinese. Il gruppo ha utilizzato uno strumento dannoso chiamato ScanBox.

L'attore della minaccia dietro la campagna ScanBox ha preso di mira entità in Asia, Europa e Australia e le vittime includono enti governativi, organi di stampa e imprese industriali. I ricercatori ritengono che l'attacco sia stato condotto dall'attore di minacce noto con gli alias APT40 e Leviathan.

Il malware ScanBox è stato distribuito utilizzando e-mail dannose che si spacciavano per avvisi di congedo per malattia o richieste di collaborazione. Gli attori malintenzionati possedevano e gestivano il dominio utilizzato negli attacchi, appartenente a una falsa società di media chiamata "Australian Morning News". Le e-mail a volte contenevano un collegamento al sito Web controllato dagli hacker con la pretesa che le vittime potessero condividere il contenuto per la pubblicazione.

ScanBox utilizza JavaScript e può fornire ulteriori payload dannosi. Il malware carica anche plug-in all'interno del browser della vittima che consentono la registrazione delle sequenze di tasti, la comunicazione tra i sistemi compromessi e il controllo del software antivirus installato.

Gli attacchi successivi che utilizzavano ScanBox si basavano su documenti d'ufficio dannosi che avrebbero innescato una catena di infezione a più stadi, fornendo alla fine il carico utile di ScanBox.