Hakerzy atakują platformy gier i gier hazardowych za pomocą backdoora Ice Breaker i metod inżynierii społecznej.
Złośliwe oprogramowanie Ice Breaker zagraża firmom zajmującym się grami i hazardem
Złośliwa kampania, której początki sięgają września 2022 r., jest skierowana na platformy gier i gier hazardowych Inżynieria społeczna.
1 lutego 2022 r. izraelska firma zajmująca się bezpieczeństwem cybernetycznym Security Joes opublikowała post dotyczący złośliwego oprogramowania Ice Breaker i jego wykorzystania w wielomiesięcznej kampanii, która miała miejsce zaledwie kilka miesięcy przed ICE 2023. To wydarzenie zgromadzi tysiące entuzjastów gier między 7 a 9 lutego 2023 r. Jak można się domyślić, złośliwe oprogramowanie bierze swoją nazwę od samego zdarzenia.
W tym ataku opartym na socjotechnice złośliwy operator podszywa się pod klienta w celu wdrożenia backdoora.
Metoda ataku IceBreaker jest „Przebiegła i mądra”
w Wpis Security Joes, złośliwe oprogramowanie Ice Breaker (nazywane „Ice Breaker APT”) zostało opisane jako „przebiegłe i mądre”, z możliwością hakowania platform za pomocą backdoora. Ale najpierw operator musi przekonać cel do otwarcia pliku LNK lub ZIP. W tym momencie atakujący jest „tylko kilka kroków od zebrania danych uwierzytelniających, otwarcia odwrotnej powłoki i rozpoczęcia drugiego etapu ataku”.
Istnieją różne wskaźniki, które Security Joes wymienił dla tego rodzaju włamania, w tym odwiedzający nie mający konta w docelowej witrynie, mimo że twierdzi, że ma problemy z zalogowaniem się. Innym wskaźnikiem jest wysłanie przez atakującego łącza umożliwiającego pobranie zrzutu ekranu problemu z zewnętrznej witryny internetowej, zamiast po prostu wysyłania załącznika z obrazem.
Gdy atakujący wdroży backdoora Ice Breaker, może wykonać zrzuty ekranu maszyny ofiary, ukraść dane uwierzytelniające, pliki cookie i dowolne pliki, przeprowadzają dostosowywanie za pomocą wtyczek w celu rozszerzenia zagrożenia, uruchamiają niestandardowe skrypty VBS na zainfekowanej maszynie i generują zdalne sesje powłoki.
Unikalna metoda Ice Breaker może pomóc w identyfikacji operatorów
We wspomnianym poście Security Joes, starszy badacz zagrożeń firmy, Felipe Duarte, stwierdził że „Ice Breaker używa bardzo specyficznej techniki inżynierii społecznej, która w pewnym stopniu poświęca ich tożsamość". Dyrektor generalny Security Joes i badacz złośliwego oprogramowania, Ido Naor, stwierdził również w artykule, że „W przeszłości cyberprzestępcy i grupy ransomware zrezygnowały ze swoich identyfikatorów lokalizacji, popełniając błędy gramatyczne podczas interakcji z naszymi eksperci”.
Istnieją więc sposoby na odkrycie prawdziwej tożsamości tych złośliwych operatorów Ice Breaker. Security Joes poinformował czytelników, że jest „zainteresowany dzieleniem się informacjami [posiadanymi] ze społecznością infosec i bezpieczeństwem IT branży hazardowej / gier”, ponieważ zbliża się szybko ICE 2023.
Security Joes kontynuuje śledztwo w sprawie Ice Breaker
Security Joes powstrzymał już szereg ataków Ice Breaker i kontynuuje badanie kampanii w celu zidentyfikowania operatorów i całkowitego powstrzymania złośliwego przedsięwzięcia. Mamy nadzieję, że firma odniesie sukces w walce z Ice Breaker, a ICE 2023 odbędzie się bez żadnych incydentów związanych z cyberbezpieczeństwem.
