Gerichte aanvallen via gecompromitteerde websites
Cybercriminelen maken opnieuw gebruik van zogeheten watering hole-aanvallen om specifieke doelgroepen te infecteren. Hierbij worden legitieme websites gehackt en voorzien van kwaadaardige code, waardoor bezoekers ongemerkt spyware binnenhalen. In dit geval gaat het om het ScanBox-framework, een geavanceerde JavaScript-toolkit die aanvallers in staat stelt gegevens van bezoekers te verzamelen zonder dat die iets doorhebben.
De kracht van het ScanBox-framework
ScanBox wordt al jaren door verschillende dreigingsactoren gebruikt en is bijzonder effectief omdat het direct in de browser actief is. Zodra een slachtoffer een besmette site bezoekt, haalt de code informatie op over het systeem en surftgedrag, waaronder toetsenbordinvoer, browserconfiguratie en geïnstalleerde plug-ins. Dankzij deze aanpak hoeven aanvallers geen aparte malware op het apparaat te installeren. De verzamelde data wordt vervolgens naar externe servers gestuurd voor verdere analyse, wat het voor de aanvallers mogelijk maakt om toekomstige aanvallen nauwkeuriger te richten en potentiële doelwitten te selecteren op basis van hun profiel en activiteiten.
Gerichte spionage en blijvende dreiging
Volgens onderzoekers zijn de recente aanvallen vooral gericht op bezoekers van websites die gelinkt zijn aan politieke en economische thema’s in Azië. Deze doelgerichte benadering suggereert dat staatsondersteunde actoren waarschijnlijk achter de campagne zitten. Het feit dat ScanBox in staat is om gevoelige informatie zoals toetsaanslagen en systeemdetails te onderscheppen, maakt het een krachtig middel voor digitale spionage. De verspreiding via legitieme sites vergroot bovendien het effect, omdat slachtoffers geen reden hebben om de inhoud te wantrouwen. Beveiligingsonderzoekers benadrukken dat organisaties hun websites en bezoekers beter moeten beschermen door strikte controles, regelmatige patching en het monitoren van verdachte scripts. De voortdurende inzet van ScanBox onderstreept dat zelfs vertrouwde online omgevingen niet immuun zijn voor geavanceerde cyberaanvallen.