Grupa Silver Fox koristi lažne web stranice za isporuku Sainbox RAT-a i skrivenog rootkita. Kineska hakerska grupa poznata kao Silver Fox, takođe identifikovana kao Blackfox ili I_o_2, aktivno cilja korisnike koji govore kineski jezik. Ova grupa koristi sofisticiranu taktiku, uključujući postavljanje lažnih web stranica, kako bi zarazila računare žrtava sa malverom.
Njihova najnovija kampanja, koju su otkrili istraživači iz kompanije za sajber sigurnost Shadowserver, koristi lažne web stranice koje imitiraju legitimne platforme i usluge. Ove lažne stranice su dizajnirane tako da izgledaju uvjerljivo i često sadrže dobro osmišljen sadržaj kako bi prevarile korisnike. Kada žrtve posjete ove stranice i uvjere se da su legitimne, bivaju navedene da preuzmu i pokrenu zaražene datoteke.
Primarni cilj ovih napada je isporuka Sainbox RAT-a (Remote Access Trojan), sofisticiranog alata koji hakerima omogućava daljinski pristup i kontrolu nad kompromitovanim sistemima. Pored RAT-a, meta je i isporuka rootkita, vrste malvera koja obezbjeđuje prikriveni pristup i kontrolu nad sistemom, čineći otkrivanje i uklanjanje izuzetno teškim.
Metodologija napada je usmjerena na socijalni inženjering. Prevaranti mame žrtve tako što ih navode da vjeruju kako posjećuju legitimne stranice za preuzimanje softvera, ažuriranje, ili pristup uslugama koje često koriste. Na primjer, mogu kreirati lažne stranice koje podsjećaju na popularne cloud servise, društvene mreže ili alate za produktivnost. Kada korisnik pokuša da se uloguje ili preuzme nešto sa ovih lažnih stranica, umjesto očekivane funkcionalnosti, pokreće se malver.
Na primjer, u jednom od nedavnih incidenata, žrtve su bile privučene lažnim oglasima ili linkovima koji su vodili na stranice koje su obećavale besplatan softver ili pristup ekskluzivnom sadržaju. Nakon preuzimanja i pokretanja datoteke, njihov sistem je bio kompromitovan. Sainbox RAT omogućava napadačima da ukradu osjetljive informacije, kao što su podaci za prijavu, finansijski podaci ili lični dokumenti, te da špijuniraju aktivnost korisnika. Rootkit, s druge strane, može osigurati dugoročnu prisutnost napadača u sistemu, omogućavajući im da ga koriste kao odskočnu dasku za dalje napade na druge mreže ili da ga održe kompromitovanim na neodređeno vrijeme.
Upozorenje je objavljeno na mreži X (ranije Twitter) i na blogu kompanije Shadowserver, gdje su detaljno opisane tehničke karakteristike i dokazi prikupljeni tokom istrage. Sigurnosni stručnjaci savjetuju korisnicima da budu izuzetno oprezni prilikom posjete novim ili manje poznatim web stranicama, te da uvijek provjeravaju URL adrese prije preuzimanja bilo kakvog softvera ili unosa ličnih podataka. Posebnu pažnju treba obratiti na web stranice koje nude besplatne verzije plaćenog softvera ili zahtijevaju neočekivane lične podatke.
