Οι χάκερ έχουν βάλει στο στόχαστρο εταιρείες online gaming και στοιχήματος με κάτι που φαίνεται να είναι ένα άγνωστο backdoor που οι ερευνητές ονόμασαν IceBreaker.
Η μέθοδος παραβίασης βασίζεται σε εξελιγμένη παραπλάνηση, με στόχο να εξαπατήσει τους υπαλλήλους εξυπηρέτησης πελατών ώστε να ανοίξουν κακόβουλα screenshot με την ψευδαίσθηση ότι έχουν σταλεί από έναν χρήστη που αντιμετωπίζει κάποιο πρόβλημα.
Από τον Σεπτέμβριο του 2022, σημειώνονται κακόβουλες επιθέσεις χωρίς να υπάρχει σαφής ένδειξη για το ποιος κρύβεται πίσω από αυτές. Το μόνο που μπορεί να διαπιστωθεί είναι αμυδρές νύξεις που παραπέμπουν στην προέλευσή τους.
Οι ερευνητές της εταιρείας αντιμετώπισης περιστατικών Security Joes πιστεύουν ότι το backdoor IceBreaker είναι έργο ενός νέου προηγμένου απειλητικού παράγοντα που χρησιμοποιεί «μια πολύ συγκεκριμένη τεχνική social engineering», η οποία θα μπορούσε να οδηγήσει σε μια πιο ξεκάθαρη εικόνα του ποιοι είναι.
Αφού εξέτασε διεξοδικά τα στοιχεία από μια παραβίαση της ασφάλειας τον Σεπτέμβριο, η αντίδραση της Security Joes ήταν ταχύτερη από το αναμενόμενο. Τόσο πολύ που κατάφεραν να αποτρέψουν προληπτικά τρεις ακόμη επιθέσεις πριν οι χάκερ προλάβουν να εκτελέσουν τις κακόβουλες δραστηριότητές τους.
Οι ερευνητές λένε ότι η μόνη δημόσια απόδειξη του απειλητικού παράγοντα του IceBreaker που μπόρεσαν να βρουν ήταν ένα tweet από το MalwareHunterTeam τον Οκτώβριο.
Εξαπάτηση εξυπηρέτησης πελατών
Για να παραδώσει το backdoor, ο απειλητικός παράγοντας επικοινωνεί με την υποστήριξη πελατών της εταιρείας-στόχου προσποιούμενος ότι είναι χρήστης που αντιμετωπίζει προβλήματα κατά τη σύνδεση ή την εγγραφή στην ηλεκτρονική υπηρεσία.
Οι χάκερ πείθουν τον support agent να κατεβάσει μια εικόνα που περιγράφει το πρόβλημα καλύτερα από ό,τι μπορούν να εξηγήσουν. Οι ερευνητές λένε ότι η εικόνα συνήθως φιλοξενείται σε έναν ψεύτικο ιστότοπο που υποδύεται μια νόμιμη υπηρεσία, αν και την είδαν επίσης να παραδίδεται από αποθήκευση Dropbox.
Η SecurityJoes λέει ότι οι διάλογοι που εξέτασε μεταξύ του απειλητικού παράγοντα και των πρακτόρων υποστήριξης υποδεικνύουν ότι το IceBreaker δεν είναι μητρική αγγλική γλώσσα και ζητά σκόπιμα να μιλήσει με ισπανόφωνους πράκτορες. Ωστόσο, είδαν να μιλούν και άλλες γλώσσες.
Τα links που παραδίδονται με αυτόν τον τρόπο οδηγούν σε ένα αρχείο ZIP που περιέχει κακόβουλο αρχείο LNK που ανακτά το IceBreaker backdoor ή ένα Visual Basic Script που κατεβάζει το Houdini RAT που είναι ενεργό τουλάχιστον από το 2013.
Όπως φαίνεται παρακάτω, το εικονίδιο του αρχείου συντόμευσης των Windows έχει μετατραπεί ώστε να φαίνεται ακίνδυνο. Το shortcut περιέχει μια εντολή λήψης ενός MSI payload από τον server του εισβολέα, εγκατάστασης χωρίς αλληλεπίδραση χρήστη και εκτέλεσης χωρίς διεπαφή χρήστη.
Οι ερευνητές του Security Joes λένε ότι το κακόβουλο λογισμικό που έχει ληφθεί είναι “ένα εξαιρετικά περίπλοκο μεταγλωττισμένο αρχείο JavaScript” που μπορεί να ανακαλύψει εκτελούμενες διαδικασίες, να κλέψει κωδικούς πρόσβασης, cookies και αρχεία, να ανοίξει ένα proxy tunnel για τον εισβολέα, καθώς και να εκτελέσει script που ανακτώνται από τον διακομιστή των εισβολέων.
Πηγή πληροφοριών: bleepingcomputer.com
