IceBreaker Malware

Az IceBreaker névre keresztelt fenyegető támadási kampány a játék- és szerencsejáték-szektort célozza meg, és legalább 2022 szeptembere óta aktív. A támadás okos social engineering taktikákat alkalmaz JavaScript-hátsó ajtó telepítéséhez. A támadási kampányról és a telepített IceBreaker Backdoorról először az izraeli Security Joes kiberbiztonsági cég biztonsági kutatói közölték a részleteket.

Az IceBreaker mögött álló támadók a társadalmi tervezésre támaszkodnak

A fenyegetés szereplői úgy kezdik támadási láncukat, hogy vásárlónak adják ki magukat, és beszélgetést kezdeményeznek a szerencsejáték-cégek támogató ügynökeivel. A színészek azt állítják, hogy fiókregisztrációs problémáik vannak, majd arra ösztönzik az ügynököt, hogy nyissa meg a Dropboxon tárolt képernyőképet. A kiberbűnözők kihasználják, hogy a választott ügyfélszolgálat ember által működtetett.

A chatben elküldött feltételezett képernyőkép linkjére kattintva vagy egy LNK rakományhoz vagy egy VBScript fájlhoz vezet. Az LNK rakomány úgy van beállítva, hogy lekérjen és végrehajtson egy Node.js implantátumot hordozó MSI-csomagot az áldozat gépén.

Az IceBreaker malware fenyegető képességei

A sérült JavaScript-fájlt a fenyegetés szereplői arra használhatják, hogy hozzáférjenek az áldozat számítógépéhez. Rendelkezik a hátsó ajtók fenyegetéseinél jellemzően megfigyelhető összes lehetőséggel – képes felsorolni a futó folyamatokat, begyűjteni a jelszavakat és a cookie-kat, kiszűrni tetszőleges fájlokat, készíteni képernyőképeket, futtatni a távoli szerverről importált VBScriptet, és még egy fordított proxyt is megnyitni a feltört gazdagépen. Ha ehelyett az áldozat hajtja végre a VBS letöltőt, az egy másik Houdini nevű rakományt telepít – egy VBS-alapú távelérési trójai (RAT), amely 2013 óta létezik. Ez a rosszindulatú program felhasználható az áldozat rendszeréhez való jogosulatlan hozzáférésre. és potenciálisan kárt okozhat, vagy érzékeny információkat gyűjthet.