ClickCease Les attaquants utilisent des attaques de type Watering Hole pour installer ScanBox Keylogger - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les attaquants utilisent des attaques de type Watering Hole pour installer ScanBox Keylogger

21 septembre 2022 - L'équipe de relations publiques de TuxCare

Un acteur de la menace basé en Chine, surnommé APT TA423, mène des attaques de type "waterhole" sur des organisations australiennes et des sociétés d'énergie offshore en mer de Chine méridionale afin de distribuer l'outil de reconnaissance ScanBox aux victimes.

La Waterhole Attack est une cyberattaque contre une organisation spécifique dans laquelle un logiciel malveillant est installé sur un site web régulièrement visité par les membres de l'organisation pour infecter les ordinateurs utilisés au sein de l'organisation elle-même.

Afin de mener à bien leurs activités malveillantes, les attaquants utilisent le framework ScanBox. ScanBox est un cadre personnalisable et multifonctionnel basé sur Javascript qui est utilisé par les adversaires pour effectuer et convertir des opérations de reconnaissance.

Les données des keylogger ScanBox provenant des "trous d'eau" font partie d'une attaque à plusieurs niveaux qui permet aux attaquants de connaître des cibles potentielles qui les aideront à lancer de futures attaques contre des organisations.

Pour exécuter une attaque, les attaquants téléchargent le JavaScript malveillant sur un site Web compromis où la ScanBox agit comme un enregistreur de frappe, enregistrant toutes les activités saisies par l'utilisateur sur le site Web infecté.

TA423 lance ses attaques par des courriels de phishing prétendant provenir d'un employé de l'"Australian Morning News", une organisation fictive.

Les cibles sont ensuite invitées à se rendre sur leur "humble site d'actualités", australianmorningnews[.]com. Dès que la cible clique sur le lien, elle est redirigée vers un site dont le contenu est copié à partir de véritables sites d'actualités, et le cadre du malware lui est divulgué.

Le script initial d'un keylogger ScanBox fournit une liste d'informations sur l'ordinateur cible, notamment le système d'exploitation, la langue et la version installée d'Adobe Flash. ScanBox effectue également une vérification des extensions de navigateur, des plugins et des composants tels que WebRTC.

Les sources de cette pièce comprennent un article de ThreatPost.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information