IceBreaker Malware

Кампания угрожающей атаки, получившая название IceBreaker, нацелена на сектор игр и азартных игр и активна как минимум с сентября 2022 года. Атака использует хитрые тактики социальной инженерии для развертывания бэкдора JavaScript. Подробности о кампании атаки и развернутом бэкдоре IceBreaker были впервые опубликованы исследователями безопасности из израильской компании по кибербезопасности Security Joes.

Злоумышленники, стоящие за IceBreaker, полагаются на социальную инженерию

Злоумышленники начинают свою цепочку атак, выдавая себя за клиентов и инициируя беседы с агентами службы поддержки игровых компаний. Актеры утверждают, что у них возникли проблемы с регистрацией учетной записи, а затем предлагают агенту открыть снимок экрана, размещенный в Dropbox. Киберпреступники пользуются тем фактом, что выбранная служба поддержки клиентов управляется людьми.

Щелчок по ссылке предполагаемого снимка экрана, отправленного в чат, приводит либо к полезной нагрузке LNK, либо к файлу VBScript. Полезная нагрузка LNK настроена на получение и выполнение пакета MSI, содержащего имплантат Node.js, на компьютере жертвы.

Угрожающие возможности вредоносного ПО IceBreaker

Поврежденный файл JavaScript может быть использован злоумышленниками для получения доступа к компьютеру жертвы. Он имеет все возможности, обычно наблюдаемые в бэкдор-угрозах, — возможность перечислять запущенные процессы, собирать пароли и файлы cookie, эксфильтровать произвольные файлы, делать снимки экрана, запускать VBScript, импортированный с удаленного сервера, и даже открывать обратный прокси-сервер на скомпрометированном хосте. Если вместо этого жертва запускает загрузчик VBS, он развертывает другую полезную нагрузку под названием Houdini — троян удаленного доступа (RAT) на основе VBS, который существует с 2013 года. Это вредоносное ПО может использоваться для получения несанкционированного доступа к системе жертвы. и потенциально могут нанести ущерб или собрать конфиденциальную информацию.