IceBreaker Malware

Hrozivá útočná kampaň s názvom IceBreaker sa zameriava na herný a hazardný sektor a je aktívna minimálne od septembra 2022. Útok využíva dômyselnú taktiku sociálneho inžinierstva na nasadenie zadného vrátka JavaScriptu. Podrobnosti o útočnej kampani a nasadení IceBreaker Backdoor prvýkrát zverejnili bezpečnostní výskumníci z izraelskej kybernetickej spoločnosti Security Joes.

Útočníci stojaci za IceBreaker sa spoliehajú na sociálne inžinierstvo

Aktéri hrozieb začínajú svoj reťaz útokov tým, že sa vydávajú za zákazníka a iniciujú rozhovory s agentmi podpory pre herné spoločnosti. Herci tvrdia, že majú problémy s registráciou účtu, a potom povzbudzujú agenta, aby otvoril snímku obrazovky umiestnenú na Dropboxe. Kyberzločinci využívajú skutočnosť, že vybraný zákaznícky servis riadi človek.

Kliknutím na odkaz údajnej snímky obrazovky odoslanej v rozhovore sa dostanete buď k užitočnému obsahu LNK alebo súboru VBScript. Užitočné zaťaženie LNK je nakonfigurované na načítanie a spustenie balíka MSI nesúceho implantát Node.js na počítači obete.

Ohrozujúce schopnosti malvéru IceBreaker

Poškodený súbor JavaScript môžu aktéri hrozby použiť na získanie prístupu k počítaču obete. Má všetky funkcie, ktoré sa zvyčajne vyskytujú pri hrozbách typu backdoor – schopnosť vymenovať bežiace procesy, ukladať heslá a súbory cookie, exfiltrovať ľubovoľné súbory, vytvárať snímky obrazovky, spúšťať VBScript importovaný zo vzdialeného servera a dokonca otvoriť reverzný proxy na napadnutom hostiteľovi. Ak obeť spustí sťahovanie VBS, nasadí inú užitočnú časť s názvom Houdini – trójsky kôň na vzdialený prístup (RAT) založený na VBS, ktorý existuje od roku 2013. Tento malvér možno použiť na získanie neoprávneného prístupu do systému obete a potenciálne spôsobiť škodu alebo zhromažďovať citlivé informácie.