Oyun ve kumar şirketlerini hedef alan yeni bir kötü amaçlı yazılım kampanyası bildirildi ve kod adı IceBreaker.
Saldırganlar, görünüşte bir sorunu gündeme getirmek için şirketlerin çevrimiçi müşteri destek bölümüyle iletişime geçer. Uç noktalarını hacklemek için – daha önce uzmanlar tarafından görülmemiş – bir arka kapı içeren “sorunlarını” vurgulamak için bir “ekran görüntüsü” eklerler.
Saldırılar Eylül 2022’den beri bildiriliyor ve arkalarındaki grup bir sır olarak kalsa da, müşteri hizmetleri temsilcileriyle İngilizce dışındaki dillerde konuşmak istemek gibi bazı eylemleri kimliklerine dair ipucu olabilir.
JPEG’de saklanıyor
Grup kim olursa olsun, ileri teknikler kullanıyor ve şimdiye kadar açığa çıkmaktan kaçınmış görünüyorlar.
İsrailli siber güvenlik firması Security Joes, Eylül 2022’deki bir olaydan elde edilen verileri analiz ettikten sonra saldırılarından üçünü durdurmayı başardı, ancak tehdit aktörünün kamuoyu tarafından tanınan tek bilgisinin bir saldırı olduğunu söylüyor. MalwareHunterTeam’den tek tweet (yeni sekmede açılır).
Firma ayrıca, saldırganların müşteri hizmetleriyle İspanyolca konuşmak istediklerini, ancak diğer dillerde de konuştuklarını gözlemlediklerini belirtiyor. Ne olursa olsun, Güvenlik Joes, İngilizcenin ana dilleri olmadığına inanıyor.
Bu şirketlere gönderdikleri ekli görünen ekran görüntüleri bir LNK dosyası içeriyor, ancak bir JPG resim dosyası gibi görünüyor. IceBreaker arka kapısını ele geçirir veya herhangi bir kullanıcı etkileşimi veya arabirim gerektirmeden saldırganın sunucusundan yaklaşık on yıldır var olan iyi bilinen Visual Basic Komut Dosyası (VBS) Houdini Rat’ı indirir.
Dosya, Security Joes’un dosya ve parolaları çalabileceğini, hedefin sisteminde komut dosyalarını çalıştırabileceğini ve saldırgan ile kurban arasında bir proxy tüneli açabileceğini söylediği karmaşık, derlenmiş JavaScript’tir. Temel olarak, arka kapı bilgisayar korsanlarına sistem üzerinde kontrol sağlar ve dahası, şirketin ağına daha fazla potansiyel sızmaya izin verebilir.
LNK dosyasının başlattığı indirme, kötü amaçlı yazılımı içeren bir MSI yüküdür ve virüsten koruma hizmetleri tarafından zayıf bir şekilde algılanır – Bleeping Computer, virüs tarama web sitesi VirusTotal’da yapılan 60 taramadan kötü amaçlı yazılımın yalnızca 4 kez algılandığını bildirir.
Meşru bir yazılım imzası gibi görünen kötü amaçlı yazılımın içindeki sahte dosyalar, bu tür araçların onda yanlış bir şey bulması anlamına gelir.
Security Joes’un IceBreaker hakkındaki raporu (yeni sekmede açılır) sisteminizde olduğundan şüpheleniyorsanız, kötü amaçlı yazılımı nasıl tespit edeceğinize dair tavsiyeler içerir. Açık kaynak tsocks.exe programının başlangıç klasöründe ve açılışında oluşturulan kısayol dosyalarına dikkat edin.