Aanvallers hebben onlangs kwaadaardige JavaScript op de website van een Amerikaanse lobbygroep geplaatst waardoor ze zonder het gebruik van exploits allerlei informatie over bezoekers konden achterhalen. Het gaat om de website van het National Foreign Trade Council (NFTC), een belangenorganisatie die zich inzet voor handel en zich met het handelsbeleid van de Amerikaanse president Trump bezighoudt.

Op specifieke pagina's van de NFTC-website was een link toegevoegd die automatisch werd uitgevoerd als bezoekers die bezochten. Het ging om de registratiepagina's voor een bestuursvergadering. De link wees naar een pagina waarop het ScanBox-framework draaide. Deze JavaScript-verkenningstool wordt al sinds 2014 gebruikt en maakt het mogelijk om zonder het gebruik van exploits allerlei informatie over een doelwit te verzamelen.

Via ScanBox kan aanvaller het ip-adres, besturingssysteem, Java-versie, schermresolutie, taalinstellingen, lokale tijd op de computer, gebruikte anti-virussoftware, SharePoint-informatie en versies van browserplug-ins, Internet Explorer, Adobe Reader en Adobe Flash Player achterhalen. Daarnaast is het mogelijk om op de gehackte website in kwestie alle toetsaanslagen op te slaan en terug te sturen naar de aanvallers.

Met deze informatie kunnen de aanvallers vervolgens gerichte phishingaanvallen uitvoeren waarbij er bijvoorbeeld misbruik van kwetsbaarheden wordt gemaakt die een doelwit niet heeft gepatcht. Volgens Fidelis Cybersecurity is de aanval waarschijnlijk door een groep Chinese hackers uitgevoerd, aangezien ScanBox alleen door Chinese aanvallers zou worden gebruikt. Eerder publiceerde PwC ook al een rapport over ScanBox (pdf).