ClickCease Los atacantes utilizan Watering Hole Attacks para instalar ScanBox Keylogger - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Los atacantes utilizan Watering Hole Attacks para instalar ScanBox Keylogger

21 de septiembre de 2022 - Equipo de relaciones públicas de TuxCare

Un actor de amenazas con base en China, apodado APT TA423, está llevando a cabo ataques a organizaciones australianas nacionales y a empresas energéticas offshore en el Mar de China Meridional para distribuir la herramienta de reconocimiento ScanBox a las víctimas.

El Waterhole Attack es un ciberataque contra una organización específica en el que se instala malware en un sitio web que es visitado regularmente por miembros de la organización para infectar ordenadores utilizados dentro de la propia organización.

Para llevar a cabo con éxito sus actividades maliciosas, los atacantes utilizan el framework ScanBox. ScanBox es un framework basado en Javascript personalizable y multifuncional que utilizan los adversarios para llevar a cabo y convertir operaciones de reconocimiento.

Los datos del keylogger ScanBox procedentes de "waterholes" forman parte de un ataque a varios niveles que proporciona a los atacantes conocimientos sobre objetivos potenciales que les ayudarán a lanzar futuros ataques contra organizaciones.

Para ejecutar un ataque, los atacantes cargan el JavaScript malicioso en un sitio web comprometido, donde ScanBox actúa como keylogger, capturando toda la actividad introducida por el usuario en el sitio web infectado.

TA423 lanza sus ataques con correos electrónicos de phishing que simulan proceder de un empleado del "Australian Morning News", una organización ficticia.

A continuación, se aconseja a los objetivos que visiten su "humilde sitio web de noticias" australianmorningnews[.]com. En cuanto el objetivo hace clic en el enlace, se le redirige a un sitio web cuyos contenidos están copiados de sitios web de noticias reales, y se le filtra el marco del malware.

El script inicial principal de un keylogger ScanBox proporciona una lista de información sobre el ordenador de destino, incluido el sistema operativo, el idioma y la versión instalada de Adobe Flash. ScanBox también realiza una auditoría de extensiones del navegador, plugins y componentes como WebRTC.

Las fuentes de este artículo incluyen un artículo en ThreatPost.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín