Hakerzy wykorzystują nowe złośliwe oprogramowanie IceBreaker do naruszania firm z branży gier komputerowych

Pojawiła się nowa kampania złośliwego oprogramowania skierowana przeciwko firmom z branży gamingowej i hazardowej o nazwie kodowej IceBreaker.

Napastnicy kontaktują się online z działem obsługi klienta tych firm, aby pozornie poruszyć jakiś problem. Załączają „zrzut ekranu”, aby podkreślić swój „problem”, który zawiera backdoora w celu zhakowania ich punktu końcowego.

Ataki są zgłaszane od września 2022 roku i chociaż grupa stojąca za nimi pozostaje anonimowa, niektóre z ich działań – takie jak żądanie rozmowy z agentami obsługi klienta w językach innych niż angielski – mogą być wskazówkami co do ich tożsamości. Kimkolwiek jest ta grupa, wydaje się, że używa zaawansowanych technik i jak dotąd unikała zdemaskowania.

Izraelska firma Security Joes była w stanie powstrzymać trzy ataki po przeanalizowaniu danych z incydentu z września 2022 roku, ale twierdzi, że jedynym publicznym rozpoznaniem aktora zagrożeń był pojedynczy tweet od MalwareHunterTeam. Firma zauważa również, że napastnicy poprosili o rozmowę z obsługą klienta w języku hiszpańskim, chociaż zaobserwowano, że rozmawiali również w innych językach. Niezależnie od tego, Security Joes uważa, że angielski nie jest ich pierwszym językiem. Pozornie załączone zrzuty ekranu, które wysyłają do tych firm zawierają plik LNK, ale maskują się jako plik obrazu JPG. Pobiera on backdoora IceBreaker, czyli znanego od dekady Visual Basic Script (VBS) Houdini Rat, z serwera atakującego bez żadnej interakcji użytkownika czy wymaganego interfejsu.

Plik jest złożonym, skompilowanym skryptem JavaScript, który według Security Joes może wykradać pliki i hasła, uruchamiać skrypty w docelowym systemie i otwierać tunel proxy między atakującym a ofiarą. Zasadniczo, backdoor daje hakerom kontrolę nad systemem, a co więcej, może pozwolić na dalszą potencjalną penetrację w sieci firmy.

Pobieranie, które inicjuje plik LNK, to payload MSI zawierający malware, który jest słabo wykrywany przez serwisy antywirusowe – Bleeping Computer donosi, że z 60 skanów na stronie VirusTotal, malware zostało wykryte tylko 4 razy.