IceBreaker Malware

Grozeča napadalna kampanja, imenovana IceBreaker, cilja na sektor iger in iger na srečo in je aktivna vsaj od septembra 2022. Napad uporablja pametne taktike socialnega inženiringa za uvedbo stranskih vrat JavaScript. Podrobnosti o napadalni kampanji in nameščenem backdoorju IceBreaker so prvi objavili varnostni raziskovalci pri izraelskem podjetju za kibernetsko varnost Security Joes.

Napadalci za IceBreaker se zanašajo na socialni inženiring

Akterji groženj začnejo svojo verigo napadov tako, da se predstavljajo kot stranke in začnejo pogovore s podpornimi agenti podjetij za igre na srečo. Igralci trdijo, da imajo težave z registracijo računa, nato pa spodbujajo agenta, da odpre sliko posnetka zaslona, ki gostuje na Dropboxu. Kibernetski kriminalci izkoriščajo dejstvo, da izbrano storitev za stranke upravlja človek.

Klik na povezavo do domnevnega posnetka zaslona, poslanega v klepetu, vodi do koristnega tovora LNK ali datoteke VBScript. Koristni tovor LNK je konfiguriran za pridobivanje in izvajanje paketa MSI, ki nosi vsadek Node.js, na računalniku žrtve.

Nevarne zmožnosti zlonamerne programske opreme IceBreaker

Poškodovano datoteko JavaScript lahko akterji groženj uporabijo za dostop do računalnika žrtve. Ima vse zmožnosti, ki jih običajno opazimo pri grožnjah za zakulisjem – možnost oštevanja izvajajočih se procesov, zbiranja gesel in piškotkov, izločanja poljubnih datotek, snemanja posnetkov zaslona, izvajanja VBScripta, uvoženega z oddaljenega strežnika, in celo odpiranja obratnega proxyja na ogroženem gostitelju. Če žrtev namesto tega zažene prenosnik VBS, bo uporabil drugačno obremenitev, imenovano Houdini – trojanec za oddaljeni dostop (RAT), ki temelji na VBS in obstaja od leta 2013. To zlonamerno programsko opremo je mogoče uporabiti za pridobitev nepooblaščenega dostopa do sistema žrtve. in lahko povzročijo škodo ali zbirajo občutljive podatke.