IceBreaker Malware

Kampanja prijetećeg napada, nazvana IceBreaker, cilja na sektore igara i kockanja i aktivna je najmanje od rujna 2022. Napad koristi pametne taktike društvenog inženjeringa za implementaciju stražnjih vrata JavaScripta. Pojedinosti o kampanji napada i postavljenom IceBreaker Backdooru prvi su objavili sigurnosni istraživači iz izraelske tvrtke za kibernetičku sigurnost Security Joes.

Napadači koji stoje iza IceBreakera oslanjaju se na društveni inženjering

Akteri prijetnji započinju svoj lanac napada predstavljajući se kao kupac i započinju razgovore s agentima podrške za tvrtke za igre na sreću. Glumci tvrde da imaju problema s registracijom računa i zatim potiču agenta da otvori sliku zaslona koja se nalazi na Dropboxu. Kibernetički kriminalci iskorištavaju činjenicu da odabranom korisničkom službom upravljaju ljudi.

Klik na vezu navodne snimke zaslona poslane u chatu vodi do LNK korisnog sadržaja ili VBScript datoteke. LNK korisni teret konfiguriran je za dohvaćanje i izvršavanje MSI paketa koji nosi Node.js implantat na žrtvinom stroju.

Prijeteće mogućnosti zlonamjernog softvera IceBreaker

Oštećenu JavaScript datoteku akteri prijetnje mogu koristiti za pristup žrtvinom računalu. Ima sve mogućnosti koje se obično vide u backdoor prijetnjama - mogućnost nabrajanja pokrenutih procesa, prikupljanja lozinki i kolačića, eksfiltracije proizvoljnih datoteka, snimanja zaslona, pokretanja VBScripta uvezenog s udaljenog poslužitelja, pa čak i otvaranja obrnutog proxyja na kompromitiranom hostu. Ako žrtva umjesto toga izvrši VBS downloader, on će implementirati drugačiji korisni teret pod nazivom Houdini - trojanac za daljinski pristup (RAT) temeljen na VBS-u koji postoji od 2013. Ovaj zlonamjerni softver može se koristiti za dobivanje neovlaštenog pristupa žrtvinom sustavu i potencijalno uzrokovati štetu ili prikupljati osjetljive informacije.