Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los atacantes utilizan Watering Hole Attacks para instalar ScanBox Keylogger
Obanla Opeyemi
21 de septiembre de 2022 - Equipo de expertos TuxCare
Un actor de amenazas con base en China, apodado APT TA423, está llevando a cabo ataques a organizaciones australianas nacionales y a empresas energéticas offshore en el Mar de China Meridional para distribuir la herramienta de reconocimiento ScanBox a las víctimas.
El Waterhole Attack es un ciberataque contra una organización específica en el que se instala malware en un sitio web que es visitado regularmente por miembros de la organización para infectar ordenadores utilizados dentro de la propia organización.
Para llevar a cabo con éxito sus actividades maliciosas, los atacantes utilizan el framework ScanBox. ScanBox es un framework basado en Javascript personalizable y multifuncional que utilizan los adversarios para llevar a cabo y convertir operaciones de reconocimiento.
Los datos del keylogger ScanBox procedentes de "waterholes" forman parte de un ataque a varios niveles que proporciona a los atacantes conocimientos sobre objetivos potenciales que les ayudarán a lanzar futuros ataques contra organizaciones.
Para ejecutar un ataque, los atacantes cargan el JavaScript malicioso en un sitio web comprometido, donde ScanBox actúa como keylogger, capturando toda la actividad introducida por el usuario en el sitio web infectado.
TA423 lanza sus ataques con correos electrónicos de phishing que simulan proceder de un empleado del "Australian Morning News", una organización ficticia.
A continuación, se aconseja a los objetivos que visiten su "humilde sitio web de noticias" australianmorningnews[.]com. En cuanto el objetivo hace clic en el enlace, se le redirige a un sitio web cuyos contenidos están copiados de sitios web de noticias reales, y se le filtra el marco del malware.
El script inicial principal de un keylogger ScanBox proporciona una lista de información sobre el ordenador de destino, incluido el sistema operativo, el idioma y la versión instalada de Adobe Flash. ScanBox también realiza una auditoría de extensiones del navegador, plugins y componentes como WebRTC.
Las fuentes de este artículo incluyen un artículo en ThreatPost.
