Malware IceBreaker

Hrozivá útočná kampaň s názvem IceBreaker se zaměřuje na herní a hazardní sektor a je aktivní minimálně od září 2022. Útok využívá chytré taktiky sociálního inženýrství k nasazení zadních vrátek JavaScriptu. Podrobnosti o útočné kampani a nasazeném IceBreaker Backdoor poprvé zveřejnili bezpečnostní výzkumníci z izraelské kybernetické společnosti Security Joes.

Útočníci za IceBreaker se spoléhají na sociální inženýrství

Aktéři hrozeb začínají svůj řetězec útoků tím, že se vydávají za zákazníka a zahajují rozhovory s agenty podpory herních společností. Herci tvrdí, že mají problémy s registrací účtu, a poté vyzvou agenta, aby otevřel snímek obrazovky hostovaný na Dropboxu. Kyberzločinci využívají toho, že vybraný zákaznický servis je řízen člověkem.

Kliknutí na odkaz předpokládaného snímku obrazovky odeslaného v chatu vede buď k užitečnému obsahu LNK nebo souboru VBScript. Užitná zátěž LNK je nakonfigurována tak, aby vyzvedla a provedla balíček MSI nesoucí implantát Node.js na počítači oběti.

Hrozivé schopnosti malwaru IceBreaker

Poškozený soubor JavaScriptu mohou aktéři hrozby použít k získání přístupu k počítači oběti. Má všechny funkce, které se obvykle vyskytují u hrozeb typu backdoor – schopnost vyjmenovat běžící procesy, ukládat hesla a soubory cookie, exfiltrovat libovolné soubory, pořizovat snímky obrazovky, spouštět VBScript importovaný ze vzdáleného serveru a dokonce otevřít reverzní proxy na napadeném hostiteli. Pokud místo toho oběť spustí stahovací program VBS, nasadí jinou užitečnou zátěž s názvem Houdini – trojský kůň pro vzdálený přístup (RAT) založený na VBS, který existuje od roku 2013. Tento malware lze použít k získání neoprávněného přístupu do systému oběti. a potenciálně způsobit škodu nebo shromažďovat citlivé informace.