IceBreaker 恶意软件
一场名为 IceBreaker 的威胁性攻击活动以游戏和赌博行业为目标,至少从 2022 年 9 月开始就一直活跃。该攻击使用巧妙的社会工程策略来部署 JavaScript 后门。以色列网络安全公司 Security Joes 的安全研究人员首先发布了有关攻击活动和部署的 IceBreaker 后门的详细信息。
IceBreaker 背后的攻击者依赖社会工程学
威胁行为者通过冒充客户并发起与游戏公司支持代理的对话来开始他们的攻击链。演员声称存在帐户注册问题,然后鼓励代理人打开托管在 Dropbox 上的屏幕截图。网络犯罪分子利用了所选择的客户服务是人工操作这一事实。
单击聊天中发送的假定屏幕截图的链接会导致 LNK 有效负载或 VBScript 文件。 LNK 有效载荷被配置为在受害者的机器上获取并执行携带 Node.js 植入程序的 MSI 包。
IceBreaker 恶意软件的威胁能力
威胁行为者可以使用损坏的 JavaScript 文件来访问受害者的计算机。它具有在后门威胁中通常观察到的所有功能 - 能够枚举正在运行的进程、收集密码和 cookie、泄露任意文件、截取屏幕截图、运行从远程服务器导入的 VBScript,甚至在受感染主机上打开反向代理。如果 VBS 下载程序由受害者执行,它将部署一个名为Houdini的不同有效负载——一种基于 VBS 的远程访问木马 (RAT),自 2013 年以来一直存在。该恶意软件可用于未经授权访问受害者的系统并可能造成损害或收集敏感信息。
