Gruppo cinese ‘Admin338’ Usa DropBox per consegnare il loro Payload
Gli analisti diThreat Intelligence FireEye hanno scoperto un nuovo attacco di phishing portato da un gruppo di cinesi tramite un servizio legittimo come Dropbox.
Gli analisti hanno trovato che il gruppo cyber (che è senza nome al momento, ma alcuni ricercatori li identificano come “admin @ 338”),ha iniziato l’invio di email con link a dropbox che contengono documenti.
I documenti in realtà sono payload malware conosciuti come Lowball.
Lowball utilizza dropbox come comando e controllo.
I ricercatori hanno constatato ch eè la seconda volta che hacker usano i servizi di dropbox per la diffusione del malware.
Queste minacce malware sono parte di una nuova tendenza in cui gli hacker stanno utilizzando i servizi cloud, come siti di Dropbox o di social network per diffondere malware.
La Cina è stata accusato anche per spiare i manifestanti pro-democrazia a Hong Kong con un spyware Android travestiti da un app OccupyCentral per tenere d’occhio i manifestanti.
FireEye in Agosto 2015 ha catturato hacker cinesi mentre spiavano attivisti tibetani e decine di organizzazioni in Bangladesh, Nepal e Pakistan.
Questo gruppo cinese in passato ha usato eventi importanti per la distribuzione di malware.
La loro attenzione è stata in gran parte verso le organizzazioni (per lo più finanziaria, economica o politica commerciale in questione).
Sono per lo più utilizzati RAT accessibili al pubblico, come Poison Ivy e alcune backdoor non pubblici.
Per gli hacker, i loro obiettivi principali sono le organizzazioni di Hong Kong quali media che pubblicano i contenuti relativi alla pro-democrazia.
Quello che usano per il loro obiettivo è un documento ben fatto in lingua cinese, che una volta scaricato può dare connettere il governo cinese per gli aggiornamenti sulle prossime proteste, le informazioni pertinenti a favore della democrazia di gruppi di dirigenti e la comprensione su come l’attività Internet sono state interrotto nel 2014 quando diversi siti web hanno affrontato gli attacchi DDoS.