IceBreaker Malware

Кампания за заплашителна атака, наречена IceBreaker, е насочена към секторите на игрите и хазарта и е активна най-малко от септември 2022 г. Атаката използва умни тактики за социално инженерство за внедряване на задна вратичка на JavaScript. Подробности за кампанията за атака и разгърнатия IceBreaker Backdoor бяха пуснати за първи път от изследователите по сигурността в израелската компания за киберсигурност Security Joes.

Нападателите зад IceBreaker разчитат на социално инженерство

Актьорите на заплахата започват своята верига от атаки, като се представят за клиент и инициират разговори с агенти за поддръжка на компании за игри. Актьорите твърдят, че имат проблеми с регистрацията на акаунта и след това насърчават агента да отвори екранна снимка, хоствана в Dropbox. Киберпрестъпниците се възползват от факта, че избраната клиентска услуга се управлява от хора.

Щракването върху връзката на предполагаемата екранна снимка, изпратена в чата, води или до LNK полезен товар, или до VBScript файл. Полезният товар LNK е конфигуриран да извлича и изпълнява MSI пакет, носещ имплант Node.js на машината на жертвата.

Заплашващите възможности на зловреден софтуер IceBreaker

Повреденият JavaScript файл може да бъде използван от участниците в заплахата, за да получат достъп до компютъра на жертвата. Той има всички възможности, които обикновено се наблюдават при заплахи от задната вратичка - способността да изброява работещи процеси, да събира пароли и бисквитки, да ексфилтрира произволни файлове, да прави екранни снимки, да изпълнява VBScript, импортиран от отдалечен сървър, и дори да отваря обратен прокси на компрометирания хост. Ако вместо това програмата за изтегляне на VBS се изпълни от жертвата, тя ще разположи различен полезен товар, наречен Houdini - базиран на VBS троянски кон за отдалечен достъп (RAT), който съществува от 2013 г. Този зловреден софтуер може да се използва за получаване на неоторизиран достъп до системата на жертвата и потенциално да причини щети или да събира чувствителна информация.