IceBreaker Malware

IceBreaker adlı tehdit edici bir saldırı kampanyası, oyun ve kumar sektörlerini hedefliyor ve en az Eylül 2022'den beri aktif durumda. Saldırı, JavaScript arka kapısını dağıtmak için akıllı sosyal mühendislik taktikleri kullanıyor. Saldırı kampanyası ve dağıtılan IceBreaker Backdoor hakkındaki ayrıntılar ilk olarak İsrail siber güvenlik şirketi Security Joes'un güvenlik araştırmacıları tarafından yayınlandı.

IceBreaker'ın Arkasındaki Saldırganlar Sosyal Mühendisliğine Güveniyor

Tehdit aktörleri, bir müşteri gibi davranarak ve oyun şirketlerinin destek temsilcileriyle görüşmeler başlatarak saldırı zincirine başlar. Oyuncular, hesap kaydı sorunları olduğunu iddia ediyor ve ardından aracıyı Dropbox'ta barındırılan bir ekran görüntüsü açmaya teşvik ediyor. Siber suçlular, seçilen müşteri hizmetinin insanlar tarafından işletilmesi gerçeğinden yararlanır.

Sohbette gönderilen sözde ekran görüntüsünün bağlantısına tıklamak, bir LNK yüküne veya bir VBScript dosyasına yol açar. LNK yükü, kurbanın makinesinde bir Node.js implantı taşıyan bir MSI paketini getirecek ve yürütecek şekilde yapılandırılmıştır.

IceBreaker Kötü Amaçlı Yazılımının Tehdit Edici Yetenekleri

Bozuk JavaScript dosyası, tehdit aktörleri tarafından bir kurbanın bilgisayarına erişim elde etmek için kullanılabilir. Arka kapı tehditlerinde tipik olarak gözlemlenen tüm yeteneklere sahiptir - çalışan işlemleri numaralandırma, parolaları ve çerezleri toplama, rastgele dosyaları sızdırma, ekran görüntüleri alma, uzak bir sunucudan içe aktarılan VBScript'i çalıştırma ve hatta güvenliği ihlal edilmiş ana bilgisayarda ters bir proxy açma yeteneği. Bunun yerine VBS indiricisi kurban tarafından yürütülürse, 2013'ten beri var olan VBS tabanlı bir Uzaktan Erişim Truva Atı (RAT) olan Houdini adlı farklı bir yük dağıtacaktır. Bu kötü amaçlı yazılım, kurbanın sistemine yetkisiz erişim elde etmek için kullanılabilir. ve potansiyel olarak hasara neden olabilir veya hassas bilgiler toplayabilir.