IceBreaker マルウェア

IceBreaker と呼ばれる脅迫的な攻撃キャンペーンは、ゲームとギャンブルのセクターを標的とし、少なくとも 2022 年 9 月から活動を続けています。この攻撃は巧妙なソーシャル エンジニアリング戦術を使用して、JavaScript バックドアを展開します。攻撃キャンペーンと展開された IceBreaker Backdoor に関する詳細は、イスラエルのサイバーセキュリティ企業 Security Joes のセキュリティ研究者によって最初に公開されました。

IceBreaker の背後にいる攻撃者はソーシャル エンジニアリングに頼っています

攻撃者は、顧客になりすましてゲーム会社のサポート エージェントと会話を開始することから、攻撃チェーンを開始します。攻撃者は、アカウント登録に問題があると主張し、エージェントに Dropbox でホストされているスクリーンショット画像を開くように勧めます。サイバー犯罪者は、選択した顧客サービスが人間によって運営されているという事実を利用します。

チャットで送信されたはずのスクリーンショットのリンクをクリックすると、LNK ペイロードまたは VBScript ファイルが表示されます。 LNK ペイロードは、被害者のマシンで Node.js インプラントを含む MSI パッケージを取得して実行するように構成されています。

IceBreaker マルウェアの脅威的な機能

攻撃者は、破損した JavaScript ファイルを使用して、被害者のコンピュータにアクセスできます。実行中のプロセスを列挙し、パスワードと Cookie を収集し、任意のファイルを盗み出し、スクリーンショットを撮り、リモート サーバーからインポートした VBScript を実行し、侵害されたホストでリバース プロキシを開く機能など、バックドアの脅威で通常観察されるすべての機能を備えています。被害者が代わりに VBS ダウンローダーを実行すると、 Houdiniという名前の別のペイロードが展開されます。Houdini は、2013 年から存在している VBS ベースのリモート アクセス トロイの木馬 (RAT) です。このマルウェアは、被害者のシステムへの不正アクセスに使用される可能性があります。損傷を引き起こしたり、機密情報を収集したりする可能性があります。