بدافزار IceBreaker
یک کمپین حمله تهدیدآمیز، با نام IceBreaker، بخشهای بازی و قمار را هدف میگیرد و حداقل از سپتامبر 2022 فعال بوده است. این حمله از تاکتیکهای مهندسی اجتماعی هوشمندانه برای استقرار درب پشتی جاوا اسکریپت استفاده میکند. جزئیات مربوط به کمپین حمله و درب پشتی IceBreaker مستقر برای اولین بار توسط محققان امنیتی در شرکت امنیت سایبری اسرائیل سکیوریتی جوز منتشر شد.
مهاجمان پشت یخ شکن به مهندسی اجتماعی متکی هستند
بازیگران تهدید زنجیره حمله خود را با ظاهر شدن به عنوان یک مشتری و شروع گفتگو با عوامل پشتیبانی شرکت های بازی آغاز می کنند. بازیگران ادعا میکنند که مشکلات ثبت حساب دارند و سپس نماینده را تشویق میکنند تا یک تصویر از صفحه نمایش میزبانی شده در Dropbox را باز کند. مجرمان سایبری از این واقعیت استفاده می کنند که خدمات مشتری انتخاب شده توسط انسان انجام می شود.
با کلیک بر روی پیوند اسکرین شات فرضی ارسال شده در چت به یک بار LNK یا یک فایل VBScript منجر می شود. بار LNK برای واکشی و اجرای یک بسته MSI حاوی ایمپلنت Node.js در دستگاه قربانی پیکربندی شده است.
قابلیت های تهدید آمیز بدافزار IceBreaker
فایل جاوا اسکریپت خراب می تواند توسط عوامل تهدید برای دسترسی به رایانه قربانی استفاده شود. همه قابلیتهایی را دارد که معمولاً در تهدیدات درب پشتی مشاهده میشود - توانایی شمارش فرآیندهای در حال اجرا، گذرواژهها و کوکیها، استخراج فایلهای دلخواه، گرفتن اسکرین شات، اجرای VBScript وارد شده از یک سرور راه دور، و حتی باز کردن یک پروکسی معکوس در میزبان در معرض خطر. اگر دانلودکننده VBS به جای آن توسط قربانی اجرا شود، بارگیری دیگری به نام Houdini را مستقر می کند - یک تروجان دسترسی از راه دور مبتنی بر VBS (RAT) که از سال 2013 وجود داشته است. این بدافزار می تواند برای دسترسی غیرمجاز به سیستم قربانی استفاده شود. و به طور بالقوه باعث آسیب یا جمع آوری اطلاعات حساس شود.