Хакеры используют новое вредоносное ПО IceBreaker для взлома игровых компаний
3 февраля 2023 г.Сообщается о новой кампании вредоносного ПО, направленной на компании, занимающиеся азартными играми и азартными играми, под кодовым названием IceBreaker.
Злоумышленники связываются со службой поддержки клиентов онлайн, чтобы, по-видимому, поднять проблему. Они прикрепляют 'скриншот' чтобы осветить свою «проблему», которая содержит лазейку, ранее не замеченную экспертами, для взлома их конечной точки.
Сообщения об атаках поступают с сентября 2022 года, и, хотя группа, стоящая за ними, остается загадкой, некоторые из их действий, например, просьбы к агентам службы поддержки говорить на языках, отличных от английского, могут быть ключом к их личности.
Скрытие в формате JPEG
Кем бы ни была эта группа, похоже, они используют передовые методы и пока избегают разоблачения.
Израильская компания Security Joes, занимающаяся кибербезопасностью, смогла остановить три атаки после анализа данных об инциденте в сентябре 2022 года, но говорит, что единственным публичным признанием злоумышленника было один твит от MalwareHunterTeam.
Фирма также отмечает, что злоумышленники просили говорить со службой поддержки на испанском языке, хотя было замечено, что они разговаривали и на других языках. Несмотря на это, Security Joes считает, что английский не является их родным языком.
Очевидно, что прикрепленные скриншоты, которые они отправляют этим компаниям, содержат файл LNK, но маскируются под файл изображения JPG. Он извлекает бэкдор IceBreaker или загружает хорошо известный Visual Basic Script (VBS) Houdini Rat, который существует уже десять лет, с сервера злоумышленника без какого-либо взаимодействия с пользователем или интерфейса.
Это сложный, скомпилированный код JavaScript, который, по словам Джоеса из службы безопасности, может украсть файлы и пароли, запустить скрипты в целевой системе и открыть прокси-туннель между злоумышленником и жертвой. По сути, бэкдор дает хакерам контроль над системой и, более того, может обеспечить дальнейшее потенциальное проникновение в сеть компании.
Загрузка, которую инициирует файл LNK, представляет собой полезную нагрузку MSI, содержащую вредоносное ПО, и плохо обнаруживается антивирусом. services — Bleeping Computer сообщает, что из 60 сканирований на веб-сайте антивирусного сканирования VirusTotal вредоносное ПО было обнаружено только 4 раза.
Файлы-приманки внутри вредоносного ПО, имитирующие легальную сигнатуру программного обеспечения, означают, что такие инструменты действительно находят в нем что-то неладное.
Безопасность Joes' отчет о IceBreaker содержит советы о том, как обнаружить вредоносное ПО, если вы подозреваете, что оно находится в вашей системе. Поиск файлов ярлыков, созданных в папке автозагрузки, и открытие программы tsocks.exe с открытым исходным кодом.
- Вот лучший брандмауэр для защиты ваших систем
Оригинал