IceBreaker Malware

Ähvardav ründekampaania, nimega IceBreaker, sihib mängu- ja hasartmängusektorit ning on olnud aktiivne vähemalt 2022. aasta septembrist. Rünnakul kasutatakse JavaScripti tagaukse juurutamiseks nutikaid sotsiaalse korralduse taktikaid. Rünnakukampaania ja kasutusele võetud IceBreaker Backdoori üksikasjad avaldasid esmakordselt Iisraeli küberjulgeolekufirma Security Joes turvateadlased.

IceBreakeri taga olevad ründajad toetuvad sotsiaalsele tehnikale

Ohutegijad alustavad oma ründeahelat kliendina esinedes ja mängufirmade tugiagentidega vestlusi alustades. Näitlejad väidavad, et neil on konto registreerimisega probleeme, ja julgustavad seejärel agenti avama Dropboxis hostitud ekraanipildi. Küberkurjategijad kasutavad ära asjaolu, et valitud klienditeenindus on inimeste juhitud.

Vestluses saadetud oletatava ekraanipildi lingil klõpsamine viib kas LNK kasuliku koormuse või VBScript-faili juurde. LNK kasulik koormus on konfigureeritud tooma ja käivitama MSI-paketti, mis kannab ohvri masinas Node.js-i implantaati.

IceBreakeri pahavara ohustavad võimalused

Rikutud JavaScripti faili saavad ohustajad kasutada ohvri arvutile juurdepääsu saamiseks. Sellel on kõik tagaukse ohtude puhul tavaliselt täheldatavad võimalused – võime loetleda jooksvaid protsesse, koguda paroole ja küpsiseid, eksfiltreerida suvalisi faile, teha ekraanipilte, käivitada kaugserverist imporditud VBScript ja isegi avada rikutud hostis pöördpuhverserver. Kui VBS-i allalaadija käivitab selle asemel ohver, võtab see kasutusele erineva kasuliku koormuse nimega Houdini – VBS-põhise kaugjuurdepääsu troojalase (RAT), mis on olnud kasutusel alates 2013. aastast. Seda pahavara saab kasutada ohvri süsteemile volitamata juurdepääsu saamiseks. ja potentsiaalselt kahjustada või koguda tundlikku teavet.