มัลแวร์ IceBreaker

แคมเปญโจมตีเชิงคุกคามที่มีชื่อว่า IceBreaker มีเป้าหมายที่ภาคเกมและการพนัน และเริ่มทำงานตั้งแต่เดือนกันยายน 2022 เป็นอย่างน้อย การโจมตีนี้ใช้กลวิธีทางวิศวกรรมสังคมอันชาญฉลาดเพื่อปรับใช้แบ็คดอร์ JavaScript รายละเอียดเกี่ยวกับแคมเปญการโจมตีและ IceBreaker Backdoor ที่ใช้งานได้รับการเผยแพร่เป็นครั้งแรกโดยนักวิจัยด้านความปลอดภัยที่ Security Joes บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล

ผู้โจมตีที่อยู่เบื้องหลัง IceBreaker พึ่งพา Social Engineering

ผู้คุกคามเริ่มห่วงโซ่การโจมตีโดยสวมรอยเป็นลูกค้าและเริ่มการสนทนากับตัวแทนฝ่ายสนับสนุนสำหรับบริษัทเกม นักแสดงอ้างว่ามีปัญหาในการลงทะเบียนบัญชี จากนั้นสนับสนุนให้ตัวแทนเปิดภาพหน้าจอที่โฮสต์บน Dropbox อาชญากรไซเบอร์ใช้ประโยชน์จากความจริงที่ว่าฝ่ายบริการลูกค้าที่เลือกนั้นดำเนินการโดยมนุษย์

การคลิกลิงก์ของภาพหน้าจอที่คาดว่าจะส่งในแชทจะนำไปสู่ LNK payload หรือไฟล์ VBScript เพย์โหลด LNK ได้รับการกำหนดค่าให้ดึงข้อมูลและดำเนินการแพ็คเกจ MSI ที่มี Node.js ฝังอยู่ในเครื่องของเหยื่อ

ความสามารถที่เป็นอันตรายของมัลแวร์ IceBreaker

ไฟล์ JavaScript ที่เสียหายสามารถใช้โดยผู้คุกคามเพื่อเข้าถึงคอมพิวเตอร์ของเหยื่อ มีความสามารถทั้งหมดที่มักพบในภัยคุกคามแบ็คดอร์ - ความสามารถในการระบุกระบวนการทำงาน รหัสผ่านและคุกกี้ของ collet กรองไฟล์โดยอำเภอใจ ถ่ายภาพหน้าจอ เรียกใช้ VBScript ที่นำเข้าจากเซิร์ฟเวอร์ระยะไกล และแม้กระทั่งเปิดพร็อกซีย้อนกลับบนโฮสต์ที่ถูกบุกรุก หากโปรแกรมดาวน์โหลด VBS ถูกดำเนินการโดยเหยื่อแทน มันจะปรับใช้ payload อื่นที่ชื่อว่า Houdini ซึ่งเป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่ใช้ VBS ซึ่งมีมาตั้งแต่ปี 2013 มัลแวร์นี้สามารถใช้เพื่อเข้าถึงระบบของเหยื่อโดยไม่ได้รับอนุญาต และอาจก่อให้เกิดความเสียหายหรือรวบรวมข้อมูลที่ละเอียดอ่อน