Logiciel malveillant ScanBox

ScanBox Malware est une menace qui peut être utilisée par les cybercriminels pour effectuer de nombreuses actions intrusives sur les appareils piratés. La menace est principalement associée aux activités d'organisations de piratage soutenues par la Chine. Certains des acteurs de menace les plus notables qui ont déployé les frameworks ScanBox dans le cadre de leurs campagnes d'attaque incluent APT10 (Red Apollo, Stone Panda), APT27 (Emissary Panda, Lucky Mouse, Red Phoenix) et TA413 (Lucky Cat). Selon un rapport de chercheurs en cybersécurité, ScanBox a plus récemment été un élément crucial d'une série d'attaques de phishing menées par APT40. Ce groupe cybercriminel est également connu sous le nom de TA423, Red Ladon et Leviathan.

Les attaques visaient principalement les agences gouvernementales australiennes, les sociétés d'information et de médias australiennes, ainsi que les fabricants internationaux de l'industrie lourde opérant dans la mer de Chine méridionale. APT40 a un modèle établi de ciblage d'entités dans la région Asie-Pacifique et, plus spécifiquement, dans la mer de Chine méridionale. En 2021, le gouvernement américain a déclaré qu'il existe des preuves que ce groupe particulier APT (Advanced Persistent Threat) a des liens avec le ministère de la Sécurité d'État de Chine.

Détails de l'attaque

Les attaques ScanBox commencent par la diffusion d'e-mails de phishing contenant une URL menant à un domaine contrôlé par des pirates. Les cybercriminels prétendraient qu'ils sont un employé d'une société de publication de médias australienne fabriquée nommée "Australian Morning News". Ils demanderaient aux cibles de partager le contenu de la recherche à publier par la fausse entreprise ou de consulter son site Web en suivant un lien URL fourni.

La page de destination du site Web est conçue pour fournir une charge utile JavaScript du framework ScanBox à la cible. Ce composant initial peut collecter diverses informations sur l'ordinateur de la victime - l'heure actuelle, la langue du navigateur, la version Flash installée, la géolocalisation, la largeur et la hauteur de l'écran, tout encodage de caractères, etc. Toutes les données obtenues sont transmises au serveur Command-and-Control (C&C, C2C) de l'opération.

Le C&C enverra une réponse contenant des instructions sur les plugins corrompus qui doivent être récupérés et exécutés dans le navigateur de la victime. Les modules sont conçus pour effectuer des tâches spécifiques, en fonction des objectifs exacts des attaquants. Les chercheurs en cybersécurité ont identifié plusieurs plugins de ce type pour l'enregistrement des frappes, les empreintes digitales du navigateur, la connexion entre pairs, un plugin qui vérifie les outils de sécurité et anti-malware spécifiques, et un plugin qui peut identifier les plugins de navigateur légitimement installés.