IceBreaker-malware

Ice Breaker is een stuk malware geschreven met Node.js dat werkt als een achterdeur. Het werd voor het eerst ontdekt in 2022 door Security Joes in campagnes gericht op de gaming- en goksector, die gemakkelijk herkenbaar waren vanwege de social engineering-tactieken die door de cybercriminelen werden gebruikt.

De identiteit van de individuen achter Ice Breaker-aanvallen is momenteel onbekend en niet gebonden aan een bepaalde hackergroep of regio. Er zijn echter aanwijzingen dat ze geen moedertaalsprekers van het Engels zijn.

De Ice Breaker-campagnes beginnen doordat de criminelen contact opnemen met door mensen bediende ondersteuningskanalen voor gaming-/gokplatforms, waarbij ze een voorkeur tonen voor ondersteuningsvertegenwoordigers die niet vloeiend Engels spreken. De aanvallers maken valse beweringen over mislukte inlogpogingen of nieuwe accountregistraties, waarbij ze zogenaamde "screenshots" verzenden via downloadlinks.

Deze schadelijke bestanden worden vaak gehost op nep-sites voor het hosten van bestanden die legitieme sites nabootsen, maar de criminelen hebben ook Dropbox gebruikt. Het doel is om ondersteuning te misleiden om het bestand te openen, meestal een LNK-bestand, dat een proces voor het zoeken naar referenties op gang brengt en leidt tot een volledige Ice Breaker-infectie. Als het LNK-bestand mislukt, nemen de aanvallers hun toevlucht tot een VBS-bestand, dat apparaten infecteert met de DUNIHI-malware.

Ice Breaker gebruikt verschillende anti-analysemaatregelen om detectie te omzeilen en reverse engineering moeilijk te maken. Eenmaal succesvol geïnfiltreerd, kan het bestanden stelen, internetcookies en inloggegevens uit Chrome extraheren en schermafbeeldingen maken.

Toekomstige versies van Ice Breaker hebben mogelijk aanvullende of andere mogelijkheden naarmate de malware wordt bijgewerkt en verder wordt ontwikkeld.

Wat zijn geavanceerde persistente bedreigingsactoren of APT's?

Advanced Persistent Threats (APT's) zijn een soort cyberaanval die wordt uitgevoerd door zeer bekwame en goed uitgeruste aanvallers met een specifiek doel voor ogen. Deze aanvallen worden meestal gedurende een langere periode uitgevoerd, vaak maanden of zelfs jaren, en zijn ontworpen om onopgemerkt te blijven terwijl de aanvaller toegang blijft krijgen tot gevoelige informatie.

APT's kunnen nationale actoren zijn, criminele organisaties of andere zeer gemotiveerde groepen, en ze richten zich op specifieke organisaties of individuen, zoals leidinggevenden op hoog niveau, politieke organisaties of leveranciers van kritieke infrastructuur. APT's zijn ontworpen om detectie door traditionele beveiligingsmaatregelen te omzeilen en gebruiken vaak een combinatie van social engineering, zero-day-exploits en geavanceerde malware om de systemen van het doelwit in gevaar te brengen en gevoelige gegevens te stelen.