Malware IceBreaker
O Ice Breaker é um malware escrito usando Node.js que funciona como um backdoor. Foi detectado pela primeira vez em 2022 por Security Joes em campanhas direcionadas aos setores de jogos e apostas, que eram facilmente reconhecíveis devido às táticas de engenharia social usadas pelos cibercriminosos.
A identidade dos indivíduos por trás dos ataques do Ice Breaker é atualmente desconhecida e não está vinculada a nenhum grupo ou região de hackers em particular. No entanto, há evidências sugerindo que eles não são falantes nativos de inglês.
As campanhas do Ice Breaker começam com os criminosos entrando em contato com canais de suporte operados por humanos para plataformas de jogos/apostas, mostrando preferência por representantes de suporte que não são fluentes em inglês. Os invasores fazem alegações falsas de tentativas de login malsucedidas ou registros de novas contas, enviando supostas "capturas de tela" por meio de links de download.
Esses arquivos maliciosos geralmente são hospedados em sites falsos de hospedagem de arquivos que imitam os legítimos, mas os criminosos também usaram o Dropbox. O objetivo é enganar o suporte para abrir o arquivo, geralmente um arquivo LNK, que inicia um processo de busca de credenciais e leva a uma infecção completa do Ice Breaker. Se o arquivo LNK falhar, os invasores recorrem a um arquivo VBS, que infecta os dispositivos com o malware DUNIHI.
O Ice Breaker emprega várias medidas anti-análise para evitar a detecção e dificultar a engenharia reversa. Uma vez infiltrado com sucesso, ele pode roubar arquivos, extrair cookies da Internet e credenciais de login do Chrome e fazer capturas de tela.
Versões futuras do Ice Breaker podem ter recursos adicionais ou diferentes à medida que o malware é atualizado e desenvolvido.
O que são agentes de ameaças persistentes avançadas ou APTs?
Ameaças persistentes avançadas (APTs) são um tipo de ataque cibernético conduzido por invasores altamente qualificados e com bons recursos, com um objetivo específico em mente. Esses ataques geralmente são executados por um longo período de tempo, geralmente meses ou até anos, e são projetados para permanecer sem serem detectados enquanto o invasor continua obtendo acesso a informações confidenciais.
APTs podem ser atores de estado-nação, organizações criminosas ou outros grupos altamente motivados e têm como alvo organizações ou indivíduos específicos, como executivos de alto nível, organizações políticas ou provedores de infraestrutura crítica. Os APTs são projetados para evitar a detecção por medidas de segurança tradicionais e geralmente usam uma combinação de engenharia social, explorações de dia zero e malware sofisticado para comprometer os sistemas do alvo e roubar dados confidenciais.