IceBreaker البرامج الضارة
حملة هجوم تهديد ، يطلق عليها اسم IceBreaker تستهدف قطاعي الألعاب والمقامرة ، وقد نشطت منذ سبتمبر 2022 على الأقل. يستخدم الهجوم تكتيكات ذكية للهندسة الاجتماعية لنشر باب خلفي لجافا سكريبت. تم نشر تفاصيل حول حملة الهجوم و IceBreaker Backdoor الذي تم نشره لأول مرة من قبل الباحثين الأمنيين في شركة الأمن السيبراني الإسرائيلية Security Joes.
اعتمد المهاجمون وراء IceBreaker على الهندسة الاجتماعية
تبدأ الجهات الفاعلة في التهديد سلسلة هجومها من خلال التظاهر كعميل وبدء محادثات مع وكلاء الدعم لشركات الألعاب. يدعي الممثلون أن لديهم مشكلات في تسجيل الحساب ثم يشجعون الوكيل على فتح صورة لقطة شاشة مستضافة على Dropbox. يستفيد مجرمو الإنترنت من حقيقة أن خدمة العملاء المختارة يديرها الإنسان.
يؤدي النقر فوق ارتباط لقطة الشاشة المفترضة المرسلة في الدردشة إلى تحميل LNK أو ملف VBScript. تم تكوين حمولة LNK لجلب وتنفيذ حزمة MSI تحمل غرسة Node.js على جهاز الضحية.
القدرات المهددة للبرامج الضارة لكسر الجليد
يمكن لممثلي التهديد استخدام ملف JavaScript التالف للوصول إلى كمبيوتر الضحية. يحتوي على جميع القدرات التي يتم ملاحظتها عادةً في تهديدات الباب الخلفي - القدرة على تعداد العمليات الجارية ، وكلمات المرور وملفات تعريف الارتباط ، واستخراج الملفات التعسفية ، والتقاط لقطات شاشة ، وتشغيل VBScript المستورد من خادم بعيد ، وحتى فتح وكيل عكسي على المضيف المخترق. إذا تم تنفيذ برنامج تنزيل VBS من قبل الضحية بدلاً من ذلك ، فسيقوم بنشر حمولة مختلفة تسمى Houdini - وهو حصان طروادة للوصول عن بُعد (RAT) المستند إلى VBS والذي كان موجودًا منذ عام 2013. يمكن استخدام هذه البرامج الضارة للحصول على وصول غير مصرح به إلى نظام الضحية ومن المحتمل أن يتسبب في تلف أو جمع معلومات حساسة.
