IceBreaker Malware
Une campagne d'attaque menaçante, baptisée IceBreaker, cible les secteurs des jeux et des jeux d'argent et est active depuis au moins septembre 2022. L'attaque utilise des tactiques d'ingénierie sociale intelligentes pour déployer une porte dérobée JavaScript. Les détails de la campagne d'attaque et de l'IceBreaker Backdoor déployé ont été publiés pour la première fois par les chercheurs en sécurité de la société israélienne de cybersécurité Security Joes.
Les attaquants derrière IceBreaker s'appuient sur l'ingénierie sociale
Les acteurs de la menace commencent leur chaîne d'attaque en se faisant passer pour un client et en lançant des conversations avec des agents de support pour les sociétés de jeux. Les acteurs prétendent avoir des problèmes d'enregistrement de compte et encouragent ensuite l'agent à ouvrir une image de capture d'écran hébergée sur Dropbox. Les cybercriminels profitent du fait que le service client choisi est géré par l'homme.
Cliquer sur le lien de la supposée capture d'écran envoyée dans le chat mène soit à une charge utile LNK, soit à un fichier VBScript. La charge utile LNK est configurée pour récupérer et exécuter un package MSI contenant un implant Node.js sur la machine de la victime.
Les capacités menaçantes du malware IceBreaker
Le fichier JavaScript corrompu peut être utilisé par les acteurs de la menace pour accéder à l'ordinateur d'une victime. Il possède toutes les fonctionnalités généralement observées dans les menaces de porte dérobée - la capacité d'énumérer les processus en cours d'exécution, de collecter des mots de passe et des cookies, d'exfiltrer des fichiers arbitraires, de prendre des captures d'écran, d'exécuter VBScript importé d'un serveur distant et même d'ouvrir un proxy inverse sur l'hôte compromis. Si le téléchargeur VBS est exécuté par la victime à la place, il déploiera une charge utile différente nommée Houdini - un cheval de Troie d'accès à distance (RAT) basé sur VBS qui existe depuis 2013. Ce logiciel malveillant peut être utilisé pour obtenir un accès non autorisé au système de la victime. et potentiellement causer des dommages ou collecter des informations sensibles.
