Keylogging Framework được sử dụng trong các cuộc tấn công Watering-Hole
Một công cụ tổ hợp phím chặn dựa trên trình duyệt được gọi là ScanBox đã được phát hiện sử dụng bởi tội phạm mạng nhắm mục tiêu vào một số lượng lớn, đa dạng các tổ chức ở Mỹ, Trung Quốc, Hàn Quốc và Nhật Bản. Để hiểu hơn về kiểu tấn công Watering hole này bạn có thể tham khảo bài viết ...
Một công cụ tổ hợp phím chặn dựa trên trình duyệt được gọi là ScanBox đã được phát hiện sử dụng bởi tội phạm mạng nhắm mục tiêu vào một số lượng lớn, đa dạng các tổ chức ở Mỹ, Trung Quốc, Hàn Quốc và Nhật Bản.
Để hiểu hơn về kiểu tấn công Watering hole này bạn có thể tham khảo bài viết “Những hiểu biết về tấn công watering hole“.
Không giống như các công cụ khác sử dụng trong các cuộc tấn công watering-hole, xây dựng để phát tán các bộ khai thác có thể xâm nhập vào máy tính khách truy cập của một trang web cụ thể, ScanBox chứa một thành phần keylogging không cần chạy phần mềm độc hại từ đĩa. Việc chặn các tổ hợp phím chặn được thực hiện thông qua mã JavaScript thực thi trong trình duyệt.
Các trang web trong nhiều lĩnh vực hoạt động khác nhau đã bị xâm nhập
Kể từ lần đầu tiên nhận được sự chú ý của các chuyên gia bảo mật và các nhà nghiên cứu tại AlienVault vào tháng tám, bộ định khung phát triển này đã được giám sát chặt chẽ bởi các chuyên gia từ Công ty PricewaterhouseCoopers (PwC), những người phát hiện ra rằng một số tội phạm mạng có thể sử dụng nó để gây ảnh hưởng đến máy tính.
Kể từ tháng tám, bộ công cụ độc hại đã được quan sát thấy đã nhắm mục tiêu vào bốn trang web: một trang liên quan đến lĩnh vực công nghiệp tại Nhật Bản, một trang liên quan đến cộng đồng người Uyghur ở Trung Quốc, một trang tư vấn tại Mỹ và một dịch vụ khách sạn tại Hàn Quốc.
Số lượng đa dạng các mục tiêu chính là đầu mối đầu tiên cho thấy có nhiều hơn một nhà điều hành đứng đằng sau ScanBox. Kiểm tra chặt chẽ hơn mã mã xác nhận những nghi ngờ của Chris Doman và Tom Lancaster từ PwC, khi họ tìm thấy sự thay đổi trong việc thiết lập bộ khung phát triển này.
Trong một số trường hợp, bộ công cụ sẽ chọn lọc và tải thêm các plug-in từ các tập tin riêng biệt, trong khi với những tập tin khác, mã độc hại đã được phát tán trong một block duy nhất của JavaScript.
Tùy thuộc vào trình duyệt được sử dụng, ScanBox sẽ triển khai phần mềm do thám, mã code để phát hiện Flash, SharePoint, Adobe PDF Reader và Java. Một số trong số chúng, bao gồm cả các keylogger JavaScript, được thiết lập trên bất kỳ trình duyệt lớn nào trên thị trường (Internet Explorer, Mozilla Firefox, Google Chrome và Safari).
Trong nhiều phiên bản của ScanBox, các nhà nghiên cứu phát hiện ra rằng mã khai thác miễn phí được sử dụng bởi những kẻ tấn công.
Pcworld