Złośliwe oprogramowanie IceBreaker

Ice Breaker to złośliwe oprogramowanie napisane przy użyciu Node.js, które działa jak backdoor. Po raz pierwszy został wykryty w 2022 roku przez Security Joes w kampaniach skierowanych do sektorów gier i hazardu, które były łatwo rozpoznawalne dzięki taktyce inżynierii społecznej stosowanej przez cyberprzestępców.

Tożsamość osób stojących za atakami Ice Breaker jest obecnie nieznana i nie jest powiązana z żadną konkretną grupą hakerską ani regionem. Istnieją jednak dowody sugerujące, że nie są oni rodzimymi użytkownikami języka angielskiego.

Kampanie Ice Breaker rozpoczynają się od tego, że przestępcy docierają do obsługiwanych przez ludzi kanałów wsparcia dla platform gier/hazardu, preferując przedstawicieli wsparcia, którzy nie mówią płynnie po angielsku. Osoby atakujące składają fałszywe twierdzenia o nieudanych próbach logowania lub rejestracji nowych kont, wysyłając rzekome „zrzuty ekranu" za pośrednictwem linków do pobierania.

Te złośliwe pliki są często hostowane na fałszywych witrynach hostujących pliki, które naśladują legalne witryny, ale przestępcy korzystali również z Dropbox. Celem jest nakłonienie pomocy technicznej do otwarcia pliku, zwykle pliku LNK, który inicjuje proces poszukiwania danych uwierzytelniających i prowadzi do pełnej infekcji Ice Breaker. Jeśli plik LNK zawiedzie, atakujący uciekają się do pliku VBS, który infekuje urządzenia złośliwym oprogramowaniem DUNIHI.

Ice Breaker stosuje różne środki zapobiegające analizie, aby uniknąć wykrycia i utrudnić inżynierię wsteczną. Po udanej infiltracji może kraść pliki, wydobywać internetowe pliki cookie i dane logowania z Chrome oraz robić zrzuty ekranu.

Przyszłe wersje Ice Breaker mogą mieć dodatkowe lub inne możliwości, gdy złośliwe oprogramowanie będzie aktualizowane i dalej rozwijane.

Co to są zaawansowane ugrupowania trwałego zagrożenia lub APT?

Advanced Persistent Threats (APT) to rodzaj cyberataku przeprowadzanego przez wysoce wykwalifikowanych i dobrze wyposażonych atakujących z myślą o określonym celu. Ataki te są zwykle przeprowadzane przez dłuższy czas, często miesiące, a nawet lata, i mają pozostać niewykryte, podczas gdy osoba atakująca będzie nadal uzyskiwać dostęp do poufnych informacji.

APT mogą być podmiotami z państw narodowych, organizacjami przestępczymi lub innymi wysoce zmotywowanymi grupami, a ich celem są określone organizacje lub osoby, takie jak kadra kierownicza wysokiego szczebla, organizacje polityczne lub dostawcy infrastruktury krytycznej. APT są zaprojektowane tak, aby uniknąć wykrycia za pomocą tradycyjnych środków bezpieczeństwa i często wykorzystują kombinację inżynierii społecznej, exploitów dnia zerowego i wyrafinowanego złośliwego oprogramowania w celu włamania się do systemów celu i kradzieży poufnych danych.