IceBreaker Malware

קמפיין תקיפה מאיים, המכונה IceBreaker מכוון למגזרי המשחקים וההימורים והוא פעיל מאז ספטמבר 2022 לפחות. המתקפה משתמשת בטקטיקות הנדסה חברתית חכמות כדי לפרוס דלת אחורית של JavaScript. פרטים על מסע התקיפה וה- IceBreaker Backdoor הפרוסה פורסמו לראשונה על ידי חוקרי האבטחה בחברת אבטחת הסייבר הישראלית Security Joes.

התוקפים מאחורי IceBreaker מסתמכים על הנדסה חברתית

שחקני האיומים מתחילים את שרשרת התקיפות שלהם בהתחזות ללקוח ויזום שיחות עם סוכני תמיכה של חברות משחקים. השחקנים טוענים שיש להם בעיות ברישום חשבון ואז מעודדים את הסוכן לפתוח תמונת מסך שמתארחת בדרופבוקס. פושעי הסייבר מנצלים את העובדה ששירות הלקוחות הנבחר מופעל על ידי אדם.

לחיצה על הקישור של צילום המסך כביכול שנשלח בצ'אט מובילה למטען LNK או לקובץ VBScript. מטען ה-LNK מוגדר להביא ולבצע חבילת MSI הנושאת שתל Node.js במכשיר של הקורבן.

היכולות המאיימות של התוכנה הזדונית של IceBreaker

קובץ ה-JavaScript הפגום יכול לשמש את שחקני האיום כדי לקבל גישה למחשב של הקורבן. יש לו את כל היכולות הנצפות בדרך כלל באיומים בדלת אחורית - היכולת למנות תהליכים רצים, לאסוף סיסמאות ועוגיות, לסנן קבצים שרירותיים, לצלם צילומי מסך, להפעיל VBScript מיובא משרת מרוחק, ואפילו לפתוח פרוקסי הפוך על המארח שנפרץ. אם הורדת VBS בוצע על ידי הקורבן במקום זאת, הוא יפרוס מטען אחר בשם הודיני - טרויאני גישה מרחוק מבוסס VBS (RAT) שקיים מאז 2013. ניתן להשתמש בתוכנה זדונית זו כדי לקבל גישה לא מורשית למערכת של הקורבן ועלולים לגרום נזק או לאסוף מידע רגיש.