Logiciel malveillant IceBreaker
Ice Breaker est un logiciel malveillant écrit à l'aide de Node.js qui fonctionne comme une porte dérobée. Il a été détecté pour la première fois en 2022 par Security Joes dans des campagnes ciblant les secteurs des jeux et des jeux d'argent, qui étaient facilement reconnaissables en raison des tactiques d'ingénierie sociale utilisées par les cybercriminels.
L'identité des individus à l'origine des attaques d'Ice Breaker est actuellement inconnue et n'est liée à aucun groupe ou région de hackers en particulier. Cependant, il existe des preuves suggérant qu'ils ne sont pas de langue maternelle anglaise.
Les campagnes Ice Breaker commencent par les criminels qui s'adressent aux canaux d'assistance gérés par l'homme pour les plateformes de jeu/jeu, montrant une préférence pour les représentants de l'assistance qui ne parlent pas couramment l'anglais. Les attaquants font de fausses déclarations de tentatives de connexion infructueuses ou d'enregistrements de nouveaux comptes, en envoyant de supposées "captures d'écran" via des liens de téléchargement.
Ces fichiers malveillants sont souvent hébergés sur de faux sites d'hébergement de fichiers qui imitent des sites légitimes, mais les criminels ont également utilisé Dropbox. L'objectif est d'inciter l'assistance à ouvrir le fichier, généralement un fichier LNK, qui lance un processus de recherche d'informations d'identification et conduit à une infection complète par Ice Breaker. Si le fichier LNK échoue, les attaquants ont recours à un fichier VBS, qui infecte les appareils avec le malware DUNIHI.
Ice Breaker utilise diverses mesures anti-analyse pour échapper à la détection et rendre la rétro-ingénierie difficile. Une fois infiltré avec succès, il peut voler des fichiers, extraire des cookies Internet et des identifiants de connexion à partir de Chrome, et prendre des captures d'écran.
Les futures versions d'Ice Breaker peuvent avoir des fonctionnalités supplémentaires ou différentes à mesure que le logiciel malveillant est mis à jour et développé.
Que sont les acteurs de menaces persistantes avancées ou les APT ?
Les menaces persistantes avancées (APT) sont un type de cyberattaque menée par des attaquants hautement qualifiés et disposant de ressources suffisantes avec un objectif précis en tête. Ces attaques sont généralement menées sur une longue période, souvent des mois, voire des années, et sont conçues pour ne pas être détectées pendant que l'attaquant continue d'accéder à des informations sensibles.
Les APT peuvent être des acteurs de l'État-nation, des organisations criminelles ou d'autres groupes très motivés, et ils ciblent des organisations ou des individus spécifiques, tels que des cadres supérieurs, des organisations politiques ou des fournisseurs d'infrastructures critiques. Les APT sont conçues pour échapper à la détection par les mesures de sécurité traditionnelles et utilisent souvent une combinaison d'ingénierie sociale, d'exploits zero-day et de logiciels malveillants sophistiqués pour compromettre les systèmes de la cible et voler des données sensibles.