IceBreaker Malware

Uhkaava hyökkäyskampanja, nimeltään IceBreaker, kohdistuu peli- ja uhkapelisektoreihin, ja se on ollut aktiivinen ainakin syyskuusta 2022 lähtien. Hyökkäys käyttää älykästä sosiaalisen manipuloinnin taktiikkaa JavaScript-takaoven käyttöönottamiseksi. Israelilaisen kyberturvallisuusyrityksen Security Joesin tietoturvatutkijat julkaisivat ensimmäisenä tiedot hyökkäyskampanjasta ja käyttöönotetusta IceBreaker Backdoorista.

IceBreakerin takana olevat hyökkääjät luottavat sosiaaliseen suunnitteluun

Uhkatoimijat aloittavat hyökkäysketjunsa esiintymällä asiakkaana ja aloittamalla keskusteluja peliyhtiöiden tukiagenttien kanssa. Näyttelijät väittävät, että heillä on tilin rekisteröintiongelmia, ja sitten kannustavat agenttia avaamaan Dropboxissa isännöidyn kuvakaappauksen. Kyberrikolliset käyttävät hyväkseen sitä, että valittu asiakaspalvelu on ihmisten ohjaamaa.

Chatissa lähetetyn oletetun kuvakaappauksen linkin napsauttaminen johtaa joko LNK-hyötykuormaan tai VBScript-tiedostoon. LNK-hyötykuorma on määritetty hakemaan ja suorittamaan Node.js-implanttia sisältävä MSI-paketti uhrin koneeseen.

IceBreaker-haittaohjelman uhkaavat ominaisuudet

Uhkatoimijat voivat käyttää vioittunutta JavaScript-tiedostoa päästäkseen käsiksi uhrin tietokoneeseen. Siinä on kaikki takaoven uhissa tyypillisesti havaitut ominaisuudet - kyky luetella käynnissä olevia prosesseja, kerätä salasanoja ja evästeitä, tutkia mielivaltaisia tiedostoja, ottaa kuvakaappauksia, suorittaa etäpalvelimelta tuotua VBScriptiä ja jopa avata käänteinen välityspalvelin vaarantuneessa isännässä. Jos uhri sen sijaan suorittaa VBS-latausohjelman, se ottaa käyttöön toisen hyötykuorman nimeltä Houdini – VBS-pohjaisen etäkäyttötroijalaisen (RAT), joka on ollut käytössä vuodesta 2013 lähtien. Tätä haittaohjelmaa voidaan käyttää luvattoman pääsyn uhrin järjestelmään. ja mahdollisesti aiheuttaa vahinkoa tai kerätä arkaluonteisia tietoja.