IceBreaker Malware

Кампанія загрозливої атаки під назвою IceBreaker націлена на сектор азартних ігор і азартних ігор і триває принаймні з вересня 2022 року. Атака використовує розумну тактику соціальної інженерії для розгортання бекдору JavaScript. Подробиці про кампанію атаки та розгорнутий бекдор IceBreaker вперше оприлюднили дослідники безпеки ізраїльської компанії з кібербезпеки Security Joes.

Зловмисники за IceBreaker покладаються на соціальну інженерію

Зловмисники починають свій ланцюжок атак, видаючи себе за клієнта та починаючи розмови з агентами служби підтримки ігрових компаній. Актори стверджують, що мають проблеми з реєстрацією облікового запису, а потім заохочують агента відкрити знімок екрана, розміщений на Dropbox. Кіберзлочинці користуються тим фактом, що обраною службою обслуговування клієнтів керує людина.

Натискання на посилання передбачуваного знімка екрана, надісланого в чаті, призводить до корисного навантаження LNK або файлу VBScript. Корисне навантаження LNK налаштоване для отримання та виконання пакета MSI, що містить імплант Node.js, на машині жертви.

Загрозливі можливості зловмисного ПЗ IceBreaker

Зловмисники можуть використовувати пошкоджений файл JavaScript для отримання доступу до комп’ютера жертви. Він має всі можливості, типові для бекдор-загроз — здатність перераховувати запущені процеси, збирати паролі та файли cookie, вилучати довільні файли, робити знімки екрана, запускати VBScript, імпортований із віддаленого сервера, і навіть відкривати зворотний проксі-сервер на скомпрометованому хості. Якщо натомість жертва запустить завантажувач VBS, він розгорне інше корисне навантаження під назвою Houdini – троян віддаленого доступу (RAT) на основі VBS, який існує з 2013 року. Цю шкідливу програму можна використовувати для отримання неавторизованого доступу до системи жертви. і потенційно можуть завдати шкоди або збирати конфіденційну інформацію.