IceBreaker-malware
Een dreigende aanvalscampagne, genaamd IceBreaker, richt zich op de gaming- en goksector en is actief sinds ten minste september 2022. De aanval maakt gebruik van slimme social engineering-tactieken om een JavaScript-achterdeur in te zetten. Details over de aanvalscampagne en de ingezette IceBreaker Backdoor werden voor het eerst vrijgegeven door de beveiligingsonderzoekers van het Israëlische cyberbeveiligingsbedrijf Security Joes.
De aanvallers achter IceBreaker vertrouwen op social engineering
De bedreigingsactoren beginnen hun aanvalsketen door zich voor te doen als klant en gesprekken te beginnen met ondersteuningsagenten voor gamingbedrijven. De acteurs beweren problemen met accountregistratie te hebben en moedigen de agent vervolgens aan om een screenshot te openen die wordt gehost op Dropbox. De cybercriminelen profiteren van het feit dat de gekozen klantenservice door mensen wordt beheerd.
Klikken op de link van het veronderstelde screenshot dat in de chat is verzonden, leidt naar een LNK-payload of een VBScript-bestand. De LNK-payload is geconfigureerd om een MSI-pakket met een Node.js-implantaat op de machine van het slachtoffer op te halen en uit te voeren.
De bedreigende mogelijkheden van de IceBreaker-malware
Het beschadigde JavaScript-bestand kan door de bedreigingsactoren worden gebruikt om toegang te krijgen tot de computer van een slachtoffer. Het heeft alle mogelijkheden die doorgaans worden waargenomen bij backdoor-bedreigingen: de mogelijkheid om lopende processen op te sommen, wachtwoorden en cookies te verzamelen, willekeurige bestanden te exfiltreren, schermafbeeldingen te maken, VBScript uit te voeren dat is geïmporteerd van een externe server en zelfs een reverse proxy te openen op de gecompromitteerde host. Als de VBS-downloader in plaats daarvan door het slachtoffer wordt uitgevoerd, zal het een andere payload genaamd Houdini inzetten - een op VBS gebaseerde Remote Access Trojan (RAT) die al sinds 2013 bestaat. Deze malware kan worden gebruikt om ongeoorloofde toegang tot het systeem van het slachtoffer te krijgen. en mogelijk schade veroorzaken of gevoelige informatie verzamelen.
