Malware IceBreaker

Uma campanha de ataque ameaçadora, chamada IceBreaker, tem como alvo os setores de jogos e apostas e está ativa desde pelo menos setembro de 2022. O ataque usa táticas inteligentes de engenharia social para implantar um backdoor de JavaScript. Detalhes sobre a campanha de ataque e o IceBreaker Backdoor implantado foram divulgados pela primeira vez pelos pesquisadores de segurança da empresa israelense de segurança cibernética Security Joes.

Os Atacantes por Trás do IceBreaker Confiam em Engenharia Social

Os agentes de ameaças iniciam sua cadeia de ataque se passando por clientes e iniciando conversas com agentes de suporte para empresas de jogos. Os atores afirmam ter problemas de registro de conta e, em seguida, incentivam o agente a abrir uma imagem de captura de tela hospedada no Dropbox. Os cibercriminosos se aproveitam do fato de que o atendimento ao cliente escolhido é operado por humanos.

Clicar no link da suposta captura de tela enviada no chat leva a uma carga LNK ou a um arquivo VBScript. A carga LNK é configurada para buscar e executar um pacote MSI que carrega um implante Node.js na máquina da vítima.

Os Recursos Ameaçadores do IceBreaker Malware

O arquivo JavaScript corrompido pode ser usado pelos agentes da ameaça para obter acesso ao computador da vítima. Ele tem todos os recursos normalmente observados em ameaças de backdoor - a capacidade de enumerar processos em execução, coletar senhas e cookies, exfiltrar arquivos arbitrários, fazer capturas de tela, executar VBScript importado de um servidor remoto e até mesmo abrir um proxy reverso no host comprometido. Se o downloader do VBS for executado pela vítima, ele implantará uma carga útil diferente chamada Houdini - um Trojan de acesso remoto (RAT) baseado no VBS, que existe desde 2013. Esse malware pode ser usado para obter acesso não autorizado ao sistema da vítima e potencialmente causar danos ou coletar informações confidenciais.