Um novo jogador apareceu no ciberespaço, com métodos surpreendentemente novos. Um grupo até então desconhecido atacou empresas de jogos de azar e jogos online usando um backdoor ainda desconhecido, chamado IceBreaker pelos pesquisadores.
IceBreaker Backdoor explora nova forma de phishing
O método de compromisso baseia-se no fato de que os trabalhadores de suporte técnico são induzidos a abrir capturas de tela maliciosas enviadas pelo invasor sob o pretexto de um problema que o usuário está enfrentando. Os primeiros ataques foram registrados em setembro 2022 por especialistas em resposta a incidentes da Security Joes. Eles acreditam que o backdoor IceBreaker é o trabalho de um novo invasor avançado que usa uma nova e muito específica tática de engenharia social.
Analisar a técnica em perspectiva pode dar uma imagem mais clara de quem eles são. A qualquer custo, analisando dados do incidente de setembro, os pesquisadores conseguiram responder a três outros ataques antes que os hackers pudessem comprometer seus alvos. A única evidência pública da existência do invasor IceBreaker é um tweet de outubro do MalwareHunterTeam.
"Captura de tela-13-28-10-03-2022.jpg.lnk": f97ee203a3dd08ac38d16295dbf9cb0c7476690ba03a05afefed34d7e8cfd44e
Próximo estágio: https://down.xn--screnshot-iib.net/42600
IDN: captura de tela[.]líquido
Interessante…
🤔@ShadowChasing1 @h2jazi @StopMalvertisin pic.twitter.com/gS9R8oL1YK— Equipe MalwareHunter (@malwrhunterteam) Outubro 3, 2022
Para entregar um backdoor, o invasor entra em contato com o helpdesk da empresa alvo. Eles imitam um usuário que está tendo problemas para fazer login ou registrar-se em um serviço online. Os hackers convencer uma pessoa de suporte a baixar uma imagem que descreve o problema melhor do que pode explicar. Especialistas dizem que a imagem geralmente fica hospedada on a fake image hosting service. Tal truque visa convencer a vítima de que foi entregue no armazenamento do Dropbox.
Implantação de carga útil do IceBreaker
Links entregues desta forma levam a um arquivo ZIP containing a malicious LNK file. Este último realmente baixa o backdoor do IceBreaker. Outros casos de ataques através de suporte técnico envolveram um script Visual Basic que baixa o Houdini RAT. Este último está em uso desde pelo menos 2013. Os hackers usam recursos de acesso remoto deste malware para implantar a carga final – exatamente, o quebra-gelo. Os especialistas observaram que o malware baixado é um arquivo JavaScript compilado muito sofisticado. Ele pode detectar processos em execução, roubar senhas, e biscoitos, e abra um túnel reverso através de um proxy. Também pode receber e executar scripts recebidos do servidor de controle.
O LNK malicioso é a carga útil de primeiro nível que entrega o malware IceBreaker, e o arquivo VBS é usado como backup caso o operador do helpdesk não consiga executar o atalho. O país de origem do novo ator ainda não foi identificado, no entanto, pesquisadores dizem que os diálogos que estudaram entre o agressor e a equipe de apoio mostram que o ator não é falante nativo de inglês. Eles deliberadamente pedem para traduzir a conversa para o espanhol. Eles também foram observados falando outras línguas. Representantes da indústria de jogos, e não só, deveria ficar em alarme, já que os hackers usam um vetor de ataque muito eficaz e um novo arsenal de malware.
Qual é o próximo?
As formas de entrega de malware evoluem constantemente para corresponder às coisas ao redor. Mudanças recentes na política da Microsoft sobre a execução de macros em arquivos da Internet tornou esse método de entrega de malware quase inútil. Além disso, depois de quase 4 anos of total domination of email spam como método de entrega empresas começou a implementar formas proativas de combater esta ameaça. Por essa razão, procurar novas formas de divulgação foi um passo bastante óbvio..
Tática que envolve sending a message with a malicious attachment para suporte técnico foi antecipado. Além disso, qualquer conteúdo de mídia atrai gerentes de suporte em seu fluxo de trabalho monótono e enfadonho. Felizmente, esta nova forma de propagação de malware não é tão difundida agora, e os hackers aparentemente encontraram uma maneira de contornar as restrições da Microsoft. Apesar disso, ignorar que as mensagens para o apoio também podem trazer outros perigos além do bullying ou da crítica é imprudente.
