Threat Database Malware Software malicioso ScanBox

Software malicioso ScanBox

ScanBox Malware es una amenaza que los ciberdelincuentes pueden utilizar para realizar numerosas acciones intrusivas en los dispositivos violados. La amenaza se asocia principalmente con las actividades de organizaciones de piratería respaldadas por China. Algunos de los actores de amenazas más notables que han implementado los marcos ScanBox como parte de sus campañas de ataque incluyen APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) y TA413 (Lucky Cat). Según un informe de investigadores de ciberseguridad, ScanBox ha sido más recientemente un componente crucial de una serie de ataques de phishing llevados a cabo por APT40. Este grupo de ciberdelincuentes también se conoce como TA423, Red Ladon y Leviathan.

Los ataques se centraron principalmente en las agencias gubernamentales australianas, las empresas australianas de noticias y medios, así como los fabricantes internacionales de la industria pesada que operan en el Mar de China Meridional. APT40 tiene un patrón establecido de entidades objetivo en la región de Asia-Pacífico y, más específicamente, el Mar de China Meridional. En 2021, el gobierno de los EE. UU. declaró que hay evidencia de que este grupo APT (Amenaza Persistente Avanzada) en particular tiene vínculos con el Ministerio de Seguridad del Estado de China.

Detalles del ataque

Los ataques de ScanBox comienzan con la difusión de correos electrónicos de phishing que contienen una URL que conduce a un dominio controlado por piratas informáticos. Los ciberdelincuentes fingirían que son empleados de una empresa de publicación de medios australiana inventada llamada 'Australian Morning News'. Les pedirían a los objetivos que compartieran contenido de investigación para ser publicado por la empresa falsa o que vieran su sitio web siguiendo un enlace de URL provisto.

La página de destino del sitio web está diseñada para entregar una carga útil de JavaScript del marco ScanBox al objetivo. Este componente inicial puede recopilar información diversa sobre la computadora de la víctima: hora actual, idioma del navegador, versión de Flash instalada, ubicación geográfica, ancho y alto de la pantalla, cualquier codificación de caracteres y más. Todos los datos obtenidos se transmiten al servidor de Comando y Control (C&C, C2C) de la operación.

El C&C enviará una respuesta que contiene instrucciones sobre qué complementos corruptos deben buscarse y ejecutarse en el navegador de la víctima. Los módulos están diseñados para realizar tareas específicas, dependiendo de los objetivos exactos de los atacantes. Los investigadores de ciberseguridad han identificado múltiples complementos de este tipo para el registro de teclas, la toma de huellas dactilares del navegador, la conexión entre pares, un complemento que verifica herramientas específicas de seguridad y antimalware, y un complemento que puede identificar los complementos del navegador instalados legítimamente.

Tendencias

Mas Visto

Cargando...