بدافزار IceBreaker

یک کمپین حمله تهدیدآمیز، با نام IceBreaker، بخش‌های بازی و قمار را هدف می‌گیرد و حداقل از سپتامبر 2022 فعال بوده است. این حمله از تاکتیک‌های مهندسی اجتماعی هوشمندانه برای استقرار درب پشتی جاوا اسکریپت استفاده می‌کند. جزئیات مربوط به کمپین حمله و درب پشتی IceBreaker مستقر برای اولین بار توسط محققان امنیتی در شرکت امنیت سایبری اسرائیل سکیوریتی جوز منتشر شد.

مهاجمان پشت یخ شکن به مهندسی اجتماعی متکی هستند

بازیگران تهدید زنجیره حمله خود را با ظاهر شدن به عنوان یک مشتری و شروع گفتگو با عوامل پشتیبانی شرکت های بازی آغاز می کنند. بازیگران ادعا می‌کنند که مشکلات ثبت حساب دارند و سپس نماینده را تشویق می‌کنند تا یک تصویر از صفحه نمایش میزبانی شده در Dropbox را باز کند. مجرمان سایبری از این واقعیت استفاده می کنند که خدمات مشتری انتخاب شده توسط انسان انجام می شود.

با کلیک بر روی پیوند اسکرین شات فرضی ارسال شده در چت به یک بار LNK یا یک فایل VBScript منجر می شود. بار LNK برای واکشی و اجرای یک بسته MSI حاوی ایمپلنت Node.js در دستگاه قربانی پیکربندی شده است.

قابلیت های تهدید آمیز بدافزار IceBreaker

فایل جاوا اسکریپت خراب می تواند توسط عوامل تهدید برای دسترسی به رایانه قربانی استفاده شود. همه قابلیت‌هایی را دارد که معمولاً در تهدیدات درب پشتی مشاهده می‌شود - توانایی شمارش فرآیندهای در حال اجرا، گذرواژه‌ها و کوکی‌ها، استخراج فایل‌های دلخواه، گرفتن اسکرین شات، اجرای VBScript وارد شده از یک سرور راه دور، و حتی باز کردن یک پروکسی معکوس در میزبان در معرض خطر. اگر دانلودکننده VBS به جای آن توسط قربانی اجرا شود، بارگیری دیگری به نام Houdini را مستقر می کند - یک تروجان دسترسی از راه دور مبتنی بر VBS (RAT) که از سال 2013 وجود داشته است. این بدافزار می تواند برای دسترسی غیرمجاز به سیستم قربانی استفاده شود. و به طور بالقوه باعث آسیب یا جمع آوری اطلاعات حساس شود.