IceBreaker Malware

Draudoša uzbrukuma kampaņa, kas nodēvēta par IceBreaker, ir vērsta uz spēļu un azartspēļu sektoru, un tā ir bijusi aktīva vismaz kopš 2022. gada septembra. Uzbrukumā tiek izmantota gudra sociālās inženierijas taktika, lai izvietotu JavaScript aizmugures durvis. Sīkāku informāciju par uzbrukuma kampaņu un izvietoto IceBreaker Backdoor pirmo reizi atklāja Izraēlas kiberdrošības uzņēmuma Security Joes drošības pētnieki.

Uzbrucēji aiz IceBreaker paļaujas uz sociālo inženieriju

Draudu dalībnieki sāk savu uzbrukumu ķēdi, uzdodoties par klientu un uzsākot sarunas ar spēļu uzņēmumu atbalsta aģentiem. Aktieri apgalvo, ka viņiem ir problēmas ar konta reģistrāciju, un pēc tam mudina aģentu atvērt ekrānuzņēmuma attēlu, kas mitināts vietnē Dropbox. Kibernoziedznieki izmanto to, ka izvēlētā klientu apkalpošana ir cilvēku vadīta.

Noklikšķinot uz tērzēšanā nosūtītā iespējamā ekrānuzņēmuma saites, tiek atvērta LNK slodze vai VBScript fails. LNK lietderīgā slodze ir konfigurēta, lai ielādētu un izpildītu MSI pakotni ar Node.js implantu cietušā mašīnā.

IceBreaker ļaunprogrammatūras draudošās iespējas

Bojāto JavaScript failu apdraudējuma dalībnieki var izmantot, lai piekļūtu upura datoram. Tam ir visas iespējas, kas parasti tiek novērotas aizmugures apdraudējumiem — iespēja uzskaitīt darbojošos procesus, apkopot paroles un sīkfailus, izfiltrēt patvaļīgus failus, uzņemt ekrānuzņēmumus, palaist no attālā servera importētu VBScript un pat atvērt apgriezto starpniekserveri apdraudētajā resursdatorā. Ja VBS lejupielādētāju tā vietā izpildīs upuris, tas izvietos citu lietderīgo slodzi ar nosaukumu Houdini — uz VBS balstītu attālās piekļuves Trojas zirgu (RAT), kas pastāv kopš 2013. gada. Šo ļaunprātīgo programmatūru var izmantot, lai iegūtu nesankcionētu piekļuvi upura sistēmai. un potenciāli nodarīt kaitējumu vai savākt sensitīvu informāciju.