IceBreaker Malware
एक धमकी भरा हमला अभियान, जिसे आइसब्रेकर करार दिया गया है, गेमिंग और जुआ क्षेत्रों को लक्षित करता है और कम से कम सितंबर 2022 से सक्रिय है। यह हमला एक जावास्क्रिप्ट पिछले दरवाजे को तैनात करने के लिए चतुर सामाजिक इंजीनियरिंग रणनीति का उपयोग करता है। हमले के अभियान और तैनात किए गए आइसब्रेकर बैकडोर के बारे में विवरण सबसे पहले इजरायली साइबर सुरक्षा कंपनी सिक्योरिटी जोस के सुरक्षा शोधकर्ताओं द्वारा जारी किए गए थे।
IceBreaker के पीछे हमलावर सोशल इंजीनियरिंग पर भरोसा करते हैं
थ्रेट एक्टर्स एक ग्राहक के रूप में प्रस्तुत करके और गेमिंग कंपनियों के लिए सहायक एजेंटों के साथ बातचीत शुरू करके अपनी हमले की श्रृंखला शुरू करते हैं। अभिनेता दावा करते हैं कि खाता पंजीकरण के मुद्दे हैं और फिर एजेंट को ड्रॉपबॉक्स पर होस्ट की गई स्क्रीनशॉट छवि खोलने के लिए प्रोत्साहित करते हैं। साइबर अपराधी इस तथ्य का लाभ उठाते हैं कि चुनी गई ग्राहक सेवा मानव-संचालित है।
चैट में भेजे गए कथित स्क्रीनशॉट के लिंक पर क्लिक करने से या तो LNK पेलोड या VBScript फ़ाइल हो जाती है। LNK पेलोड को पीड़ित की मशीन पर Node.js इम्प्लांट ले जाने वाले MSI पैकेज को लाने और निष्पादित करने के लिए कॉन्फ़िगर किया गया है।
IceBreaker Malware की खतरनाक क्षमताएं
पीड़ित के कंप्यूटर तक पहुंच प्राप्त करने के लिए दूषित जावास्क्रिप्ट फ़ाइल का उपयोग खतरे के अभिनेताओं द्वारा किया जा सकता है। इसमें वे सभी क्षमताएं हैं जो आमतौर पर पिछले दरवाजे के खतरों में देखी जाती हैं - चल रही प्रक्रियाओं, कॉलेट पासवर्ड और कुकीज़ की गणना करने की क्षमता, मनमानी फाइलों को एक्सफिल्टर करना, स्क्रीनशॉट लेना, रिमोट सर्वर से आयातित VBScript चलाना और यहां तक कि समझौता किए गए होस्ट पर एक रिवर्स प्रॉक्सी खोलना। यदि इसके बजाय पीड़ित द्वारा VBS डाउनलोडर निष्पादित किया जाता है, तो यह Houdini नाम का एक अलग पेलोड तैनात करेगा - एक VBS-आधारित रिमोट एक्सेस ट्रोजन (RAT) जो 2013 के आसपास रहा है। इस मैलवेयर का उपयोग पीड़ित के सिस्टम में अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है। और संभावित रूप से नुकसान पहुंचा सकते हैं या संवेदनशील जानकारी एकत्र कर सकते हैं।
