Kineska grupa hakera poznata kao Silver Fox koristi lažne veb-stranice kako bi isporučila svoj napredni malver, uključujući Sainbox RAT i skriveni rootkit, ciljajući pretežno korisnike koji govore kineski jezik. Nedavna analiza koju je objavila sigurnosna firma Mandiant ukazuje na sofisticiranu strategiju ove grupe koja se oslanja na društveni inženjering i manipulaciju kako bi prevarila svoje žrtve.
Ova upozorenje, objavljeno na platformi X (ranije poznatoj kao Twitter) i na zvaničnom blogu kompanije Mandiant, detaljno opisuje napade koji ciljaju kinesko govorno područje. Napadači su kreirali niz uvjerljivih lažnih veb-stranica koje imitiraju legitimne kineske sajtove za kupovinu ili popularne platforme za dijeljenje video sadržaja. Ove stranice služe kao mamac, privlačeći korisnike obećanjima o atraktivnim ponudama, ekskluzivnom sadržaju ili softverskim ažuriranjima.
Metodologija napada se odvija tako što žrtve bivaju navedene da posjete ove lažne veb-stranice. Jednom kada korisnik poseti stranicu, od njega se obično traži da preuzme fajl. Taj fajl, koji se često predstavlja kao softversko ažuriranje, instalacioni paket ili čak igra, u stvari sadrži Sainbox RAT ili skriveni rootkit. Sainbox RAT je daljinski alat za administraciju koji omogućava napadačima da preuzmu potpunu kontrolu nad kompromitovanim sistemom, uključujući pristup datotekama, kameri i mikrofonu, te mogućnost izvršavanja komandi. Skriveni rootkit, s druge strane, dizajniran je tako da prikrije svoje prisustvo na sistemu, omogućavajući dugoročni neovlašćeni pristup i kontrolu bez detekcije.
Kako bi učinili prevaru uvjerljivijom, prevaranti koriste niz taktika društvenog inženjeringa. Često iskorištavaju aktuelne događaje, sezonske popuste ili popularne trendove kako bi povećali vjerovatnoću da će korisnici biti zainteresovani za ponudu. Na primjer, mogu kreirati lažne stranice za rasprodaje povodom posebnih praznika ili nuditi pristup novim filmovima ili serijama koje su tek izašle. Pored toga, mogu koristiti lažne oglase na drugim platformama koji vode direktno na njihove kompromitovane sajtove, dodatno povećavajući organski saobraćaj i kredibilitet.
Ovaj način napada predstavlja značajan rizik jer se oslanja na povjerenje koje korisnici imaju u poznate internetske brendove i platforme. Kada se žrtva jednom zarazi, hakeri mogu iskoristiti podatke prikupljene sa sistema za dalje ciljane napade, krađu identiteta ili finansijske prevare. Stručnjaci za sigurnost savjetuju korisnicima da budu izuzetno oprezni prilikom posjete nepoznatih veb-stranica, da provjeravaju URL adrese za bilo kakve nepravilnosti i da uvijek preuzimaju softver isključivo sa zvaničnih izvora. Podsjećaju da je ključna prevencija i informisanost, te da se svako neobično ponašanje na webu treba smatrati potencijalnom prijetnjom.
