IceBreaker Malware

En truende angrebskampagne, kaldet IceBreaker, er rettet mod spil- og gamblingsektorerne og har været aktiv siden mindst september 2022. Angrebet bruger smart social engineering taktik til at implementere en JavaScript-bagdør. Detaljer om angrebskampagnen og den indsatte IceBreaker Backdoor blev først frigivet af sikkerhedsforskerne hos det israelske cybersikkerhedsfirma Security Joes.

Angriberne bag IceBreaker stoler på Social Engineering

Trusselsaktørerne begynder deres angrebskæde med at udgive sig som kunde og indlede samtaler med supportagenter for spilselskaber. Skuespillerne hævder at have problemer med kontoregistrering og opfordrer derefter agenten til at åbne et skærmbillede, der er hostet på Dropbox. De cyberkriminelle udnytter, at den valgte kundeservice er menneskedrevet.

Ved at klikke på linket til det formodede skærmbillede sendt i chatten fører det til enten en LNK-nyttelast eller en VBScript-fil. LNK-nyttelasten er konfigureret til at hente og udføre en MSI-pakke, der bærer et Node.js-implantat på ofrets maskine.

IceBreaker-malwarens truende egenskaber

Den beskadigede JavaScript-fil kan bruges af trusselsaktørerne til at få adgang til et offers computer. Den har alle de egenskaber, der typisk observeres i bagdørstrusler - evnen til at opregne kørende processer, samle adgangskoder og cookies, eksfiltrere vilkårlige filer, tage skærmbilleder, køre VBScript importeret fra en fjernserver og endda åbne en omvendt proxy på den kompromitterede vært. Hvis VBS-downloaderen i stedet udføres af offeret, vil den implementere en anden nyttelast ved navn Houdini - en VBS-baseret Remote Access Trojan (RAT), der har eksisteret siden 2013. Denne malware kan bruges til at få uautoriseret adgang til offerets system og potentielt forårsage skade eller indsamle følsomme oplysninger.