IceBreaker-Malware
Eine bedrohliche Angriffskampagne mit dem Namen IceBreaker zielt auf den Spiel- und Glücksspielsektor ab und ist mindestens seit September 2022 aktiv. Der Angriff verwendet clevere Social-Engineering-Taktiken, um eine JavaScript-Hintertür einzusetzen. Details zu der Angriffskampagne und dem eingesetzten IceBreaker Backdoor wurden erstmals von den Sicherheitsforschern des israelischen Cybersicherheitsunternehmens Security Joes veröffentlicht.
Die Angreifer hinter IceBreaker setzen auf Social Engineering
Die Bedrohungsakteure beginnen ihre Angriffskette, indem sie sich als Kunden ausgeben und Gespräche mit Supportagenten für Glücksspielunternehmen initiieren. Die Akteure behaupten, Probleme bei der Kontoregistrierung zu haben, und ermutigen den Agenten dann, ein auf Dropbox gehostetes Screenshot-Bild zu öffnen. Die Cyberkriminellen nutzen die Tatsache aus, dass der gewählte Kundenservice von Menschen betrieben wird.
Ein Klick auf den im Chat versendeten Link des vermeintlichen Screenshots führt entweder zu einer LNK-Payload oder einer VBScript-Datei. Die LNK-Nutzlast ist so konfiguriert, dass sie ein MSI-Paket mit einem Node.js-Implantat auf dem Computer des Opfers abruft und ausführt.
Die Bedrohungsfähigkeiten der IceBreaker-Malware
Die beschädigte JavaScript-Datei kann von den Angreifern verwendet werden, um Zugriff auf den Computer eines Opfers zu erhalten. Es verfügt über alle Fähigkeiten, die typischerweise bei Backdoor-Bedrohungen beobachtet werden – die Fähigkeit, laufende Prozesse aufzuzählen, Passwörter und Cookies zu erfassen, beliebige Dateien zu exfiltrieren, Screenshots zu machen, VBScript auszuführen, das von einem Remote-Server importiert wurde, und sogar einen Reverse-Proxy auf dem kompromittierten Host zu öffnen. Wenn der VBS-Downloader stattdessen vom Opfer ausgeführt wird, setzt er eine andere Payload namens Houdini ein – einen VBS-basierten Remote-Access-Trojaner (RAT), der seit 2013 auf dem Markt ist. Diese Malware kann verwendet werden, um unbefugten Zugriff auf das System des Opfers zu erlangen und möglicherweise Schäden verursachen oder vertrauliche Informationen sammeln.
