Kineska hakerska grupa poznata kao Silver Fox, usmjerena je na korisnike koji govore kineski jezik, koristeći vještački kreirane web-stranice za isporuku svog zlonamjernog softvera, Sainbox RAT i skrivenog rootkita. Ova sofisticirana kampanja, koju su otkrili istraživači iz kompanije Palo Alto Networks Unit 42, koristi društveni inženjering kako bi namamila žrtve da preuzmu i izvrše ove malvere.
Istraživanje je objavljeno na blogu kompanije Palo Alto Networks Unit 42, pružajući detaljan uvid u metode djelovanja grupe Silver Fox. Upozorenje naglašava da grupa aktivno cilja kineske korisnike, što ukazuje na specifičan profil potencijalnih meta. Ova taktika, kao i korištenje lažnih web-stranica, služi kao mamac koji ulijeva povjerenje žrtvama, navodeći ih na vjerovanje da posjećuju legitimne internetske resurse.
Metodologija napada počinje kreiranjem web-stranica koje imitiraju legitimne resurse ili popularne aplikacije, poput onih koje koriste kineski korisnici. Ove lažne stranice su pažljivo dizajnirane da izgledaju uvjerljivo, često sa sličnim dizajnom, logotipima i sadržajem kao njihove prave verzije. Korisnici bivaju namamljeni da posjete ove stranice putem raznih kanala, uključujući društvene mreže, promotivne poruke ili čak putem zlonamjernih oglasa. Kada korisnik posjeti lažnu stranicu, biva potaknut da preuzme navodno ažuriranje, sigurnosni alat ili neku drugu vrstu softvera. Umjesto očekivane funkcionalnosti, preuzeti fajl u stvari predstavlja Sainbox RAT ili rootkit.
Sainbox RAT je alat za daljinski pristup koji omogućava napadačima da preuzmu potpunu kontrolu nad kompromitovanim sistemom. To uključuje mogućnost krađe osjetljivih podataka, špijuniranja korisnika, pokretanja dodatnih malvera i vršenja drugih štetnih aktivnosti bez znanja žrtve. S druge strane, rootkit je vrsta malvera koja je posebno dizajnirana da ostane neotkrivena od strane sigurnosnog softvera i operativnog sistema. Ovo omogućava napadačima dugoročni neometani pristup sistemu, što ih čini izuzetno opasnim. Grupa Silver Fox koristi ove alate za potencijalnu krađu podataka, špijuniranje ili kao odskočnu dasku za šire napade na mreže.
Iako specifični nedavni događaji nisu direktno navedeni u izvornoj vijesti, generalno je poznato da ovakve kampanje često prate izvještaji o povećanom broju kompromitovanih naloga ili curenju podataka iz ciljanih regiona. Upozorenje se može povezati sa širim trendom povećanih kibernetičkih napada koji ciljaju specifične jezičke i geografske grupe korisnika, koristeći metode društvenog inženjeringa kako bi se iskoristilo povjerenje i nepažnja. Prevaranti vješto koriste psihološke trikove, stvarajući osjećaj hitnosti ili nudeći nešto što se čini predobro da bi bilo istinito, kako bi naveli korisnike da naprave nepromišljene radnje. Pažljivo kreiranje lažnih web-stranica i uvjerljivi narativi ključni su elementi koji čine ovu prevaru uspješnom, jer smanjuju sumnju kod žrtve prije nego što se izvrši preuzimanje malvera.
