IceBreaker Malware

IceBreaker라고 불리는 위협적인 공격 캠페인은 게임 및 도박 부문을 대상으로 하며 최소 2022년 9월부터 활성화되었습니다. 이 공격은 영리한 사회 공학 전술을 사용하여 JavaScript 백도어를 배포합니다. 공격 캠페인과 배포된 IceBreaker Backdoor에 대한 세부 정보는 이스라엘 사이버 보안 회사인 Security Joes의 보안 연구원이 처음 공개했습니다.

IceBreaker 배후의 공격자는 사회 공학에 의존합니다.

위협 행위자는 고객으로 가장하고 게임 회사의 지원 에이전트와 대화를 시작하여 공격 체인을 시작합니다. 배우들은 계정 등록 문제가 있다고 주장한 다음 상담원에게 Dropbox에 호스팅된 스크린샷 이미지를 열도록 권유합니다. 사이버 범죄자는 선택한 고객 서비스가 사람이 운영한다는 사실을 이용합니다.

채팅에서 전송된 것으로 추정되는 스크린샷의 링크를 클릭하면 LNK 페이로드 또는 VBScript 파일로 연결됩니다. LNK 페이로드는 피해자의 컴퓨터에서 Node.js 이식을 포함하는 MSI 패키지를 가져와서 실행하도록 구성됩니다.

IceBreaker 악성코드의 위협적인 기능

공격자는 손상된 JavaScript 파일을 사용하여 피해자의 컴퓨터에 액세스할 수 있습니다. 백도어 위협에서 일반적으로 관찰되는 모든 기능, 즉 실행 중인 프로세스, 암호 및 쿠키 수집, 임의 파일 추출, 스크린샷 캡처, 원격 서버에서 가져온 VBScript 실행, 손상된 호스트에서 리버스 프록시 열기 등의 모든 기능이 있습니다. 피해자가 대신 VBS 다운로더를 실행하면 Houdini 라는 이름의 다른 페이로드가 배포됩니다. 이는 2013년부터 존재한 VBS 기반 RAT(원격 액세스 트로이 목마)입니다. 이 맬웨어는 피해자 시스템에 대한 무단 액세스 권한을 얻는 데 사용될 수 있습니다. 잠재적으로 손상을 일으키거나 민감한 정보를 수집합니다.