Eine neue Malware-Kampagne mit dem Codenamen IceBreaker, die auf Spiel- und Glücksspielunternehmen abzielt, wurde gemeldet.
Die Angreifer wenden sich online an den Kundendienst der Unternehmen, um scheinbar ein Problem anzusprechen. Sie hängen einen „Screenshot“ an, um ihr „Problem“ hervorzuheben, der eine Hintertür enthält – die Experten zuvor nicht gesehen haben – um ihren Endpunkt zu hacken.
Die Angriffe wurden seit September 2022 gemeldet, und obwohl die Gruppe hinter ihnen ein Rätsel bleibt, könnten einige ihrer Handlungen – wie die Aufforderung, mit Kundendienstmitarbeitern in anderen Sprachen als Englisch zu sprechen – Hinweise auf ihre Identität sein.
Verstecken in einem JPEG
Wer auch immer die Gruppe ist, sie scheinen fortschrittliche Techniken zu verwenden und haben es bisher vermieden, entlarvt zu werden.
Das israelische Cybersicherheitsunternehmen Security Joes konnte drei seiner Angriffe stoppen, nachdem es Daten von einem Vorfall im September 2022 analysiert hatte, sagt jedoch, dass die einzige öffentliche Anerkennung des Bedrohungsakteurs ein einzelner Tweet von MalwareHunterTeam (öffnet in neuem Tab).
Die Firma stellt auch fest, dass die Angreifer darum gebeten haben, mit dem Kundendienst auf Spanisch zu sprechen, obwohl beobachtet wurde, dass sie sich auch in anderen Sprachen unterhielten. Unabhängig davon glaubt Security Joes, dass Englisch nicht ihre Muttersprache ist.
Die anscheinend angehängten Screenshots, die sie an diese Unternehmen senden, enthalten eine LNK-Datei, tarnen sich jedoch als JPG-Bilddatei. Es ruft die IceBreaker-Hintertür ab oder lädt das bekannte Visual Basic Script (VBS) Houdini Rat, das es seit einem Jahrzehnt gibt, vom Server des Angreifers herunter, ohne dass eine Benutzerinteraktion oder Schnittstelle erforderlich ist.
Die Datei ist ein komplexes, kompiliertes JavaScript, das laut Security Joe Dateien und Passwörter stehlen, Skripte auf dem System des Ziels ausführen und einen Proxy-Tunnel zwischen dem Angreifer und dem Opfer öffnen kann. Im Wesentlichen gibt die Hintertür den Hackern die Kontrolle über das System und kann darüber hinaus ein weiteres potenzielles Eindringen in das Unternehmensnetzwerk ermöglichen.
Der Download, den die LNK-Datei initiiert, ist eine MSI-Payload, die die Malware enthält, und wird von Antivirendiensten schlecht erkannt – Bleeping Computer berichtet, dass von 60 Scans auf der Virenscan-Website VirusTotal die Malware nur 4 Mal erkannt wurde.
Die Köderdateien in der Malware, die eine legitime Softwaresignatur vortäuschen, bedeuten, dass solche Tools etwas Falsches daran finden.
Der Bericht von Security Joes über IceBreaker (öffnet in neuem Tab) enthält Ratschläge, wie Sie die Malware erkennen können, wenn Sie vermuten, dass sie sich auf Ihrem System befindet. Suchen Sie nach Verknüpfungsdateien, die im Startordner erstellt wurden, und öffnen Sie das Open-Source-Programm tsocks.exe.