IceBreaker Malware
ਇੱਕ ਧਮਕੀ ਭਰੀ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ ਆਈਸਬ੍ਰੇਕਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਗੇਮਿੰਗ ਅਤੇ ਜੂਏ ਦੇ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਘੱਟੋ-ਘੱਟ ਸਤੰਬਰ 2022 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਹ ਹਮਲਾ JavaScript ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਹੁਸ਼ਿਆਰ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਅਤੇ ਤੈਨਾਤ ਆਈਸਬ੍ਰੇਕਰ ਬੈਕਡੋਰ ਬਾਰੇ ਵੇਰਵੇ ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਇਜ਼ਰਾਈਲੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੰਪਨੀ ਸੁਰੱਖਿਆ ਜੋਸ ਦੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
IceBreaker ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ 'ਤੇ ਭਰੋਸਾ ਕਰਦੇ ਹਨ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਇੱਕ ਗਾਹਕ ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਕੇ ਅਤੇ ਗੇਮਿੰਗ ਕੰਪਨੀਆਂ ਲਈ ਸਹਾਇਤਾ ਏਜੰਟਾਂ ਨਾਲ ਗੱਲਬਾਤ ਸ਼ੁਰੂ ਕਰਕੇ ਆਪਣੀ ਹਮਲੇ ਦੀ ਲੜੀ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ। ਅਭਿਨੇਤਾ ਖਾਤਾ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਸਮੱਸਿਆਵਾਂ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦੇ ਹਨ ਅਤੇ ਫਿਰ ਏਜੰਟ ਨੂੰ ਡ੍ਰੌਪਬਾਕਸ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਸਕ੍ਰੀਨਸ਼ਾਟ ਚਿੱਤਰ ਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕਰਦੇ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਇਸ ਤੱਥ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ ਕਿ ਚੁਣੀ ਗਈ ਗਾਹਕ ਸੇਵਾ ਮਨੁੱਖੀ-ਸੰਚਾਲਿਤ ਹੈ।
ਚੈਟ ਵਿੱਚ ਭੇਜੇ ਜਾਣ ਵਾਲੇ ਸਕ੍ਰੀਨਸ਼ੌਟ ਦੇ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਜਾਂ ਤਾਂ ਇੱਕ LNK ਪੇਲੋਡ ਜਾਂ VBScript ਫਾਈਲ ਹੋ ਜਾਂਦੀ ਹੈ। LNK ਪੇਲੋਡ ਨੂੰ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ Node.js ਇਮਪਲਾਂਟ ਵਾਲੇ MSI ਪੈਕੇਜ ਨੂੰ ਲਿਆਉਣ ਅਤੇ ਚਲਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।
IceBreaker Malware ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ
ਖਰਾਬ JavaScript ਫਾਈਲ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਦੁਆਰਾ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀਆਂ ਧਮਕੀਆਂ ਵਿੱਚ ਦੇਖੀਆਂ ਗਈਆਂ ਸਾਰੀਆਂ ਸਮਰੱਥਾਵਾਂ ਹਨ - ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਕੋਲੇਟ ਪਾਸਵਰਡ ਅਤੇ ਕੂਕੀਜ਼ ਦੀ ਗਿਣਤੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ, ਆਰਬਿਟਰਰੀ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ, ਸਕਰੀਨਸ਼ਾਟ ਲੈਣਾ, ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਆਯਾਤ ਕੀਤੀ VBScript ਨੂੰ ਚਲਾਉਣਾ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਇੱਕ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਵੀ ਖੋਲ੍ਹਣਾ। ਜੇਕਰ VBS ਡਾਉਨਲੋਡਰ ਨੂੰ ਪੀੜਤ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ Houdini ਨਾਮ ਦਾ ਇੱਕ ਵੱਖਰਾ ਪੇਲੋਡ ਤੈਨਾਤ ਕਰੇਗਾ - ਇੱਕ VBS- ਅਧਾਰਤ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਜੋ ਕਿ 2013 ਤੋਂ ਲਗਭਗ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਂਦਾ ਹੈ ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ।
