IceBreaker Malware

Az Ice Breaker egy Node.js használatával írt rosszindulatú program, amely hátsó ajtóként működik. Először 2022-ben a Security Joes észlelte a játék- és szerencsejáték-szektort célzó kampányaiban, amelyek könnyen felismerhetők voltak a kiberbűnözők által alkalmazott social engineering taktikák miatt.

Az Ice Breaker támadásai mögött álló személyek kiléte jelenleg ismeretlen, és nem kötődik egyetlen hackercsoporthoz vagy régióhoz sem. Vannak azonban bizonyítékok arra, hogy nem angol anyanyelvűek.

Az Ice Breaker kampányok azzal kezdődnek, hogy a bűnözők ember által működtetett játék-/szerencsejáték-platformok támogatási csatornáihoz fordulnak, jelezve, hogy előnyben részesítik azokat a támogató képviselőket, akik nem beszélnek folyékonyan angolul. A támadók hamis állításokat tesznek sikertelen bejelentkezési kísérletekről vagy új fiókok regisztrációjáról, és feltételezett "képernyőképeket" küldenek a letöltési linkeken keresztül.

Ezeket a rosszindulatú fájlokat gyakran hamis fájltároló webhelyeken tárolják, amelyek a legális fájlokat utánozzák, de a bűnözők a Dropboxot is használták. A cél az, hogy a támogatást becsapják a fájl – általában egy LNK-fájl – megnyitásához, amely hitelesítő adatkeresési folyamatot indít el, és teljes Ice Breaker fertőzéshez vezet. Ha az LNK-fájl meghiúsul, a támadók egy VBS-fájlhoz folyamodnak, amely megfertőzi az eszközöket a DUNIHI kártevővel.

Az Ice Breaker különféle elemzés-ellenes intézkedéseket alkalmaz az észlelés elkerülésére, és megnehezíti a visszafejtést. Sikeres beszivárgás után fájlokat lophat, internetes cookie-kat és bejelentkezési adatokat nyerhet ki a Chrome-ból, és képernyőképeket készíthet.

Az Ice Breaker jövőbeli verziói további vagy eltérő képességekkel rendelkezhetnek, ahogy a kártevő frissül és továbbfejlesztik.

Mik azok a haladó állandó fenyegetés szereplői vagy APT-k?

Az Advanced Persistent Threats (APT) a kibertámadások egy fajtája, amelyet magasan képzett és jó erőforrásokkal rendelkező támadók hajtanak végre egy meghatározott célt szem előtt tartva. Ezeket a támadásokat általában hosszabb ideig, gyakran hónapokon vagy akár éveken keresztül hajtják végre, és úgy tervezték, hogy észrevétlenül maradjanak, miközben a támadó továbbra is hozzáfér érzékeny információkhoz.

Az APT-k lehetnek nemzetállami szereplők, bűnszervezetek vagy más erősen motivált csoportok, és konkrét szervezeteket vagy személyeket céloznak meg, például magas szintű vezetőket, politikai szervezeteket vagy kritikus infrastruktúra-szolgáltatókat. Az APT-ket úgy tervezték, hogy elkerüljék a hagyományos biztonsági intézkedésekkel történő észlelést, és gyakran alkalmazzák a társadalmi manipulációt, a nulladik napi exploitokat és a kifinomult rosszindulatú szoftvereket a célpont rendszereinek feltörésére és érzékeny adatok ellopására.