IceBreaker Malware

Groźna kampania ataków, nazwana IceBreaker, jest skierowana do sektorów gier i hazardu i jest aktywna od co najmniej września 2022 r. Atak wykorzystuje sprytną taktykę socjotechniczną do wdrożenia backdoora JavaScript. Szczegóły dotyczące kampanii ataków i wdrożonego backdoora IceBreaker zostały po raz pierwszy ujawnione przez badaczy bezpieczeństwa z izraelskiej firmy zajmującej się cyberbezpieczeństwem Security Joes.

Atakujący stojący za IceBreaker polegają na inżynierii społecznej

Aktorzy tworzący zagrożenie rozpoczynają łańcuch ataków podając się za klientów i inicjując rozmowy z agentami wsparcia firm zajmujących się grami. Aktorzy twierdzą, że mają problemy z rejestracją konta, a następnie zachęcają agenta do otwarcia zrzutu ekranu hostowanego na Dropbox. Cyberprzestępcy wykorzystują fakt, że wybrana obsługa klienta jest obsługiwana przez człowieka.

Kliknięcie linku do rzekomego zrzutu ekranu wysłanego na czacie prowadzi do ładunku LNK lub pliku VBScript. Ładunek LNK jest skonfigurowany do pobierania i wykonywania pakietu MSI zawierającego implant Node.js na maszynie ofiary.

Groźne możliwości złośliwego oprogramowania IceBreaker

Uszkodzony plik JavaScript może zostać wykorzystany przez cyberprzestępców do uzyskania dostępu do komputera ofiary. Posiada wszystkie funkcje typowe dla zagrożeń typu backdoor — możliwość wyliczania uruchomionych procesów, zbierania haseł i plików cookie, eksfiltracji dowolnych plików, robienia zrzutów ekranu, uruchamiania języka VBScript zaimportowanego ze zdalnego serwera, a nawet otwierania odwrotnego serwera proxy na zaatakowanym hoście. Jeśli zamiast tego ofiara uruchomi VBS downloader, wdroży inny ładunek o nazwie Houdini – trojana zdalnego dostępu (RAT) opartego na VBS, który istnieje od 2013 roku. Szkodnik ten może zostać wykorzystany do uzyskania nieautoryzowanego dostępu do systemu ofiary i potencjalnie powodować szkody lub zbierać poufne informacje.