Вредоносное ПО собирает данные пользователей, проверяющих статус своего заявления на получение пакистанского гражданства.
Неизвестные скомпрометировали правительственный сайт Пакистана и заразили его кейлоггером и другим вредоносным ПО для сбора данных пользователей, проверяющих статус своего заявления на получение пакистанского гражданства. Специалисты компании Trustwave выявили на сайте gdip.gov.pk JavaScript-фреймворк Scanbox. Взлом был обнаружен, когда исследователи заметили нечто необычное в данных телеметрии.
Кейлоггер собирал учетные данные посетителей скомпрометированного ресурса, а Scanbox –отпечатки браузера и данные об установленных на компьютере программах. Фреймворк записывал IP-адреса, сведения о типе используемой ОС и установленных плагинах, сайты, с которых пользователи переходили на скомпрометированный ресурс и строки user-agent. Кроме того, Scanbox сканировал систему на наличие одного или нескольких продуктов из списка 77 самых распространенных антивирусных пакетов и отправлял результаты поиска на свои C&C-серверы.
Scanbox уже известен ИБ-сообществу – о фреймворке ранее сообщали специалисты FireEye, назвавшие его инструментом из арсенала APT-групп. В частности он использовался китайскими кибершпионами из APT 10 в рамах кампании Operation TradeSecret, направленной против членов Национального совета США по внешней торговле.
Исследователи сообщили администрации скомпрометированного ресурса о взломе, но так и не получили никакого ответа, и сайт по-прежнему остается зараженным.
Гравитация научных фактов сильнее, чем вы думаете