Κακόβουλο λογισμικό IceBreaker

Το Ice Breaker είναι ένα κομμάτι κακόβουλου λογισμικού γραμμένο χρησιμοποιώντας το Node.js που λειτουργεί σαν κερκόπορτα. Εντοπίστηκε για πρώτη φορά το 2022 από την Security Joes σε καμπάνιες που στόχευαν τους τομείς τυχερών παιχνιδιών και τυχερών παιχνιδιών, οι οποίοι ήταν εύκολα αναγνωρίσιμοι λόγω των τακτικών κοινωνικής μηχανικής που χρησιμοποιούσαν οι εγκληματίες του κυβερνοχώρου.

Η ταυτότητα των ατόμων πίσω από τις επιθέσεις στο Ice Breaker είναι προς το παρόν άγνωστη και δεν συνδέεται με κάποια συγκεκριμένη ομάδα ή περιοχή χάκερ. Ωστόσο, υπάρχουν στοιχεία που υποδηλώνουν ότι δεν είναι φυσικοί ομιλητές της αγγλικής γλώσσας.

Οι εκστρατείες Ice Breaker ξεκινούν όταν οι εγκληματίες απευθύνονται σε κανάλια υποστήριξης που λειτουργούν από ανθρώπους για πλατφόρμες τυχερών παιχνιδιών/τζόγου, δείχνοντας προτίμηση σε εκπροσώπους υποστήριξης που δεν μιλούν άπταιστα αγγλικά. Οι εισβολείς κάνουν ψευδείς ισχυρισμούς για αποτυχημένες προσπάθειες σύνδεσης ή εγγραφές νέων λογαριασμών, στέλνοντας υποτιθέμενα "στιγμιότυπα οθόνης" μέσω συνδέσμων λήψης.

Αυτά τα κακόβουλα αρχεία φιλοξενούνται συχνά σε πλαστές τοποθεσίες φιλοξενίας αρχείων που μιμούνται νόμιμους, αλλά οι εγκληματίες έχουν χρησιμοποιήσει επίσης το Dropbox. Ο στόχος είναι να εξαπατήσετε την υποστήριξη για να ανοίξετε το αρχείο, συνήθως ένα αρχείο LNK, το οποίο ξεκινά μια διαδικασία αναζήτησης διαπιστευτηρίων και οδηγεί σε πλήρη μόλυνση του Ice Breaker. Εάν το αρχείο LNK αποτύχει, οι εισβολείς καταφεύγουν σε ένα αρχείο VBS, το οποίο μολύνει συσκευές με το κακόβουλο λογισμικό DUNIHI.

Το Ice Breaker χρησιμοποιεί διάφορα μέτρα κατά της ανάλυσης για να αποφύγει τον εντοπισμό και να κάνει δύσκολη την αντίστροφη μηχανική. Αφού διεισδύσει επιτυχώς, μπορεί να κλέψει αρχεία, να εξάγει cookie Διαδικτύου και διαπιστευτήρια σύνδεσης από το Chrome και να τραβήξει στιγμιότυπα οθόνης.

Οι μελλοντικές εκδόσεις του Ice Breaker ενδέχεται να έχουν πρόσθετες ή διαφορετικές δυνατότητες καθώς το κακόβουλο λογισμικό ενημερώνεται και αναπτύσσεται περαιτέρω.

Τι είναι οι προηγμένοι παράγοντες επίμονης απειλής ή τα APT;

Οι Προηγμένες Επίμονες Απειλές (APT) είναι ένας τύπος κυβερνοεπίθεσης που διεξάγεται από επιτιθέμενους με υψηλή εξειδίκευση και καλά πόρους με συγκεκριμένο στόχο στο μυαλό. Αυτές οι επιθέσεις συνήθως εκτελούνται για εκτεταμένη χρονική περίοδο, συχνά μήνες ή και χρόνια, και έχουν σχεδιαστεί για να παραμένουν απαρατήρητες όσο ο εισβολέας συνεχίζει να αποκτά πρόσβαση σε ευαίσθητες πληροφορίες.

Τα APT μπορεί να είναι φορείς εθνικών κρατών, εγκληματικές οργανώσεις ή άλλες ομάδες με υψηλά κίνητρα και στοχεύουν συγκεκριμένους οργανισμούς ή άτομα, όπως στελέχη υψηλού επιπέδου, πολιτικές οργανώσεις ή παρόχους υποδομών ζωτικής σημασίας. Τα APT έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό με παραδοσιακά μέτρα ασφαλείας και συχνά χρησιμοποιούν έναν συνδυασμό κοινωνικής μηχανικής, μηδενικών εκμεταλλεύσεων και εξελιγμένου κακόβουλου λογισμικού για να υπονομεύσουν τα συστήματα του στόχου και να κλέψουν ευαίσθητα δεδομένα.