IceBreaker Malware

Grėsminga atakos kampanija, pavadinta „IceBreaker“, nukreipta į žaidimų ir lošimų sektorius ir buvo aktyvi mažiausiai nuo 2022 m. rugsėjo mėn. Atakoje naudojama sumani socialinės inžinerijos taktika, skirta „JavaScript“ užpakalinėms durims įdiegti. Išsamią informaciją apie atakos kampaniją ir dislokuotą „IceBreaker Backdoor“ pirmą kartą paskelbė Izraelio kibernetinio saugumo bendrovės „Security Joes“ saugumo tyrėjai.

„IceBreaker“ užpuolikai remiasi socialine inžinerija

Grėsmės veikėjai savo atakų grandinę pradeda apsimesdami klientu ir pradėdami pokalbius su žaidimų kompanijų palaikymo agentais. Aktoriai teigia, kad turi paskyros registravimo problemų, o tada skatina agentą atidaryti ekrano kopiją, esančią „Dropbox“. Kibernetiniai nusikaltėliai naudojasi tuo, kad pasirinktą klientų aptarnavimą valdo žmogus.

Spustelėjus pokalbyje atsiųstos tariamos ekrano kopijos nuorodą, patenkama arba į LNK naudingą apkrovą, arba į VBScript failą. LNK naudingoji apkrova yra sukonfigūruota taip, kad nukentėjusiojo kompiuteryje paimtų ir vykdytų MSI paketą, kuriame yra Node.js implantas.

„IceBreaker“ kenkėjiškos programos grėsmingos galimybės

Sugadintą „JavaScript“ failą gali naudoti grėsmės veikėjai, norėdami pasiekti aukos kompiuterį. Jis turi visas funkcijas, kurios paprastai pastebimos grėsmėse užpakalinėse duryse – galimybė išvardyti vykdomus procesus, surinkti slaptažodžius ir slapukus, išfiltruoti savavališkus failus, daryti ekrano kopijas, paleisti iš nuotolinio serverio importuotą VBScript ir net atidaryti atvirkštinį tarpinį serverį pažeistame pagrindiniame kompiuteryje. Jei VBS atsisiuntimo programą įvykdys auka, ji įdiegs kitą naudingą apkrovą, pavadintą Houdini – VBS pagrindu veikiantį nuotolinės prieigos Trojos arklys (RAT), veikiantis nuo 2013 m. Ši kenkėjiška programa gali būti naudojama norint gauti neteisėtą prieigą prie aukos sistemos. ir gali padaryti žalos arba rinkti neskelbtiną informaciją.