IceBreaker Malware
Ang isang nagbabantang kampanya sa pag-atake, na tinatawag na IceBreaker ay nagta-target sa mga sektor ng paglalaro at pagsusugal at naging aktibo mula noong Setyembre 2022. Gumagamit ang pag-atake ng matalinong mga taktika sa social engineering upang mag-deploy ng backdoor ng JavaScript. Ang mga detalye tungkol sa kampanya ng pag-atake at ang naka-deploy na IceBreaker Backdoor ay unang inilabas ng mga mananaliksik ng seguridad sa Israeli cybersecurity company na Security Joes.
Ang mga Attacker sa likod ng IceBreaker ay Umaasa sa Social Engineering
Sinisimulan ng mga banta ng aktor ang kanilang attack chain sa pamamagitan ng pagpapanggap bilang isang customer at pagsisimula ng mga pag-uusap sa mga ahente ng suporta para sa mga kumpanya ng gaming. Sinasabi ng mga aktor na may mga isyu sa pagpaparehistro ng account at pagkatapos ay hinihikayat ang ahente na magbukas ng larawan ng screenshot na naka-host sa Dropbox. Sinasamantala ng mga cybercriminal ang katotohanan na ang napiling serbisyo sa customer ay pinamamahalaan ng tao.
Ang pag-click sa link ng dapat na screenshot na ipinadala sa chat ay humahantong sa alinman sa isang LNK payload o isang VBScript file. Ang LNK payload ay na-configure upang kunin at isagawa ang isang MSI package na may dalang Node.js implant sa makina ng biktima.
Ang Mga Kakayahang Nagbabanta ng IceBreaker Malware
Ang sirang JavaScript file ay maaaring gamitin ng mga banta ng aktor upang makakuha ng access sa computer ng biktima. Mayroon itong lahat ng mga kakayahan na karaniwang nakikita sa mga banta sa backdoor - ang kakayahang magbilang ng mga tumatakbong proseso, collet ng mga password at cookies, mag-exfiltrate ng mga arbitrary na file, kumuha ng mga screenshot, magpatakbo ng VBScript na na-import mula sa isang malayong server, at kahit na magbukas ng reverse proxy sa nakompromisong host. Kung ang VBS downloader ay ipapatupad sa halip ng biktima, magde-deploy ito ng ibang payload na pinangalanang Houdini - isang VBS-based Remote Access Trojan (RAT) na umiral na mula noong 2013. Ang malware na ito ay maaaring gamitin upang makakuha ng hindi awtorisadong pag-access sa system ng biktima. at posibleng magdulot ng pinsala o mangolekta ng sensitibong impormasyon.
