IceBreaker Malware

Претећа кампања напада, названа ИцеБреакер, циља на секторе игара и коцкања и активна је најмање од септембра 2022. Напад користи паметне тактике друштвеног инжењеринга да би применио ЈаваСцрипт бацкдоор. Детаље о кампањи напада и распоређеном ИцеБреакер Бацкдоор-у први су објавили истраживачи безбедности у израелској компанији за сајбер безбедност Сецурити Јоес.

Нападачи који стоје иза ИцеБреакера ослањају се на друштвени инжењеринг

Актери претњи започињу свој ланац напада представљајући се као купац и иницирајући разговоре са агентима подршке компанијама за игре на срећу. Глумци тврде да имају проблема са регистрацијом налога, а затим подстичу агента да отвори слику екрана која се налази на Дропбок-у. Сајбер криминалци користе чињеницу да одабраном корисничком службом управљају људи.

Кликом на везу наводног снимка екрана послатог у ћаскању води се до ЛНК корисног оптерећења или ВБСцрипт датотеке. ЛНК корисни терет је конфигурисан да преузме и изврши МСИ пакет који носи Ноде.јс имплант на машини жртве.

Претеће могућности ИцеБреакер малвера

Оштећену ЈаваСцрипт датотеку могу да користе актери претње да би добили приступ рачунару жртве. Има све могућности које се обично примећују у претњама из бацкдоор-а – могућност набрајања покренутих процеса, лозинки и колачића, ексфилтрирања произвољних датотека, прављења снимака екрана, покретања ВБСцрипт-а увезеног са удаљеног сервера, па чак и отварања обрнутог проксија на компромитованом хосту. Ако жртва уместо тога изврши ВБС преузимач, он ће применити другачији корисни терет под називом Хоудини – тројанац за даљински приступ (РАТ) заснован на ВБС-у који постоји од 2013. Овај малвер се може користити за добијање неовлашћеног приступа систему жртве и потенцијално проузроковати штету или прикупити осетљиве информације.