IceBreaker Malware

Một chiến dịch tấn công đe dọa có tên là IceBreaker nhắm mục tiêu vào lĩnh vực trò chơi và cờ bạc và đã hoạt động ít nhất từ tháng 9 năm 2022. Cuộc tấn công sử dụng các chiến thuật kỹ thuật xã hội thông minh để triển khai một cửa hậu JavaScript. Thông tin chi tiết về chiến dịch tấn công và Backdoor IceBreaker được triển khai lần đầu tiên được tiết lộ bởi các nhà nghiên cứu bảo mật tại công ty an ninh mạng Israel Security Joes.

Những kẻ tấn công đằng sau IceBreaker dựa vào kỹ thuật xã hội

Các tác nhân đe dọa bắt đầu chuỗi tấn công của chúng bằng cách giả làm khách hàng và bắt đầu cuộc trò chuyện với các đại lý hỗ trợ cho các công ty trò chơi. Các diễn viên tuyên bố có vấn đề về đăng ký tài khoản và sau đó khuyến khích người đại diện mở ảnh chụp màn hình được lưu trữ trên Dropbox. Tội phạm mạng lợi dụng thực tế là dịch vụ khách hàng đã chọn do con người vận hành.

Nhấp vào liên kết của ảnh chụp màn hình giả định được gửi trong cuộc trò chuyện sẽ dẫn đến tải trọng LNK hoặc tệp VBScript. Tải trọng LNK được định cấu hình để tìm nạp và thực thi gói MSI mang bộ cấy Node.js trên máy của nạn nhân.

Khả năng đe dọa của phần mềm độc hại IceBreaker

Tệp JavaScript bị hỏng có thể được các tác nhân đe dọa sử dụng để có quyền truy cập vào máy tính của nạn nhân. Nó có tất cả các khả năng thường thấy trong các mối đe dọa từ cửa hậu - khả năng liệt kê các quy trình đang chạy, thu thập mật khẩu và cookie, trích xuất các tệp tùy ý, chụp ảnh màn hình, chạy VBScript được nhập từ máy chủ từ xa và thậm chí mở proxy ngược trên máy chủ bị xâm nhập. Thay vào đó, nếu trình tải xuống VBS được thực thi bởi nạn nhân, nó sẽ triển khai một tải trọng khác có tên Houdini - một Trojan truy cập từ xa (RAT) dựa trên VBS đã xuất hiện từ năm 2013. Phần mềm độc hại này có thể được sử dụng để truy cập trái phép vào hệ thống của nạn nhân và có khả năng gây ra thiệt hại hoặc thu thập thông tin nhạy cảm.