IceBreaker 惡意軟件
一場名為 IceBreaker 的威脅性攻擊活動以遊戲和賭博行業為目標,至少從 2022 年 9 月開始就一直活躍。該攻擊使用巧妙的社會工程策略來部署 JavaScript 後門。以色列網絡安全公司 Security Joes 的安全研究人員首先發布了有關攻擊活動和部署的 IceBreaker 後門的詳細信息。
IceBreaker 背後的攻擊者依賴社會工程學
威脅行為者通過冒充客戶並發起與遊戲公司支持代理的對話來開始他們的攻擊鏈。演員聲稱存在帳戶註冊問題,然後鼓勵代理人打開託管在 Dropbox 上的屏幕截圖。網絡犯罪分子利用了所選擇的客戶服務是人工操作這一事實。
單擊聊天中發送的假定屏幕截圖的鏈接會導致 LNK 有效負載或 VBScript 文件。 LNK 有效載荷被配置為在受害者的機器上獲取並執行攜帶 Node.js 植入程序的 MSI 包。
IceBreaker 惡意軟件的威脅能力
威脅行為者可以使用損壞的 JavaScript 文件來訪問受害者的計算機。它具有在後門威脅中通常觀察到的所有功能 - 能夠枚舉正在運行的進程、收集密碼和 cookie、洩露任意文件、截取屏幕截圖、運行從遠程服務器導入的 VBScript,甚至在受感染主機上打開反向代理。如果 VBS 下載程序由受害者執行,它將部署一個名為Houdini的不同有效負載——一種基於 VBS 的遠程訪問木馬 (RAT),自 2013 年以來一直存在。該惡意軟件可用於未經授權訪問受害者的系統並可能造成損害或收集敏感信息。
