IceBreaker Malware

En hotfull attackkampanj, kallad IceBreaker, riktar sig till spel- och spelsektorerna och har varit aktiv sedan åtminstone september 2022. Attacken använder smart social ingenjörsteknik för att distribuera en JavaScript-bakdörr. Detaljer om attackkampanjen och den utplacerade IceBreaker Backdoor släpptes först av säkerhetsforskarna på det israeliska cybersäkerhetsföretaget Security Joes.

Angriparna bakom IceBreaker förlitar sig på social ingenjörskonst

Hotaktörerna börjar sin attackkedja med att posera som kund och inleda samtal med supportagenter för spelbolag. Skådespelarna hävdar att de har problem med kontoregistrering och uppmuntrar sedan agenten att öppna en skärmdumpsbild på Dropbox. De cyberbrottslingar utnyttjar det faktum att den valda kundtjänsten är människostyrd.

Att klicka på länken till den förmodade skärmdumpen som skickas i chatten leder till antingen en LNK-nyttolast eller en VBScript-fil. LNK-nyttolasten är konfigurerad för att hämta och exekvera ett MSI-paket som bär ett Node.js-implantat på offrets dator.

IceBreaker Malwares hotfulla kapacitet

Den skadade JavaScript-filen kan användas av hotaktörerna för att få tillgång till ett offers dator. Den har alla funktioner som vanligtvis observeras i bakdörrshot - förmågan att räkna upp pågående processer, samla lösenord och cookies, exfiltrera godtyckliga filer, ta skärmdumpar, köra VBScript importerat från en fjärrserver och till och med öppna en omvänd proxy på den komprometterade värden. Om VBS-nedladdaren exekveras av offret istället, kommer den att distribuera en annan nyttolast som heter Houdini - en VBS-baserad Remote Access Trojan (RAT) som har funnits sedan 2013. Denna skadliga programvara kan användas för att få obehörig åtkomst till offrets system och potentiellt orsaka skada eller samla in känslig information.