IceBreaker Malware

En truende angrepskampanje, kalt IceBreaker, retter seg mot spill- og gamblingsektorene og har vært aktiv siden minst september 2022. Angrepet bruker smarte sosiale ingeniør-taktikker for å distribuere en JavaScript-bakdør. Detaljer om angrepskampanjen og den utplasserte IceBreaker Backdoor ble først utgitt av sikkerhetsforskerne ved det israelske cybersikkerhetsselskapet Security Joes.

Angriperne bak IceBreaker stoler på sosial teknikk

Trusselaktørene begynner sin angrepskjede med å utgi seg som kunde og innlede samtaler med støtteagenter for spillselskaper. Skuespillerne hevder å ha problemer med kontoregistrering og oppfordrer deretter agenten til å åpne et skjermbilde som er vert på Dropbox. De nettkriminelle utnytter at den valgte kundeservicen er menneskestyrt.

Å klikke på lenken til det antatte skjermbildet sendt i chatten fører til enten en LNK-nyttelast eller en VBScript-fil. LNK-nyttelasten er konfigurert til å hente og kjøre en MSI-pakke som bærer et Node.js-implantat på offerets maskin.

De truende egenskapene til IceBreaker Malware

Den ødelagte JavaScript-filen kan brukes av trusselaktørene for å få tilgang til et offers datamaskin. Den har alle egenskapene som vanligvis observeres i bakdørstrusler - evnen til å telle opp kjørende prosesser, samle passord og informasjonskapsler, eksfiltrere vilkårlige filer, ta skjermbilder, kjøre VBScript importert fra en ekstern server, og til og med åpne en omvendt proxy på den kompromitterte verten. Hvis VBS-nedlasteren kjøres av offeret i stedet, vil den distribuere en annen nyttelast kalt Houdini - en VBS-basert Remote Access Trojan (RAT) som har eksistert siden 2013. Denne skadelige programvaren kan brukes til å få uautorisert tilgang til offerets system og potensielt forårsake skade eller samle inn sensitiv informasjon.