Una nueva campaña de ataque se ha dirigido a los sectores de juegos y apuestas desde al menos septiembre de 2022, solo unos meses antes de la ICE Londres 2023 evento de feria comercial de la industria del juego que está programado para la próxima semana.
Empresa de ciberseguridad israelí Joes de seguridad está rastreando el clúster de actividad bajo el nombre rompehielosafirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para implementar una puerta trasera de JavaScript.
La secuencia de ataque procede de la siguiente manera: el autor de la amenaza se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de un sitio web de juegos e insta a la persona del otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.
Joes de seguridad dicho que el actor de amenazas es «muy consciente del hecho de que el servicio al cliente es operado por humanos».
Al hacer clic en el enlace malicioso enviado en el chat, se recupera una carga LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.
El archivo JavaScript tiene todas las características de una puerta trasera típica, lo que permite al actor de amenazas enumerar procesos en ejecución, robar contraseñas y cookies, filtrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto e incluso abrir un proxy inverso en el comprometido. anfitrión.
Si la víctima ejecuta el descargador de VBS, la infección culmina con la implementación de Houdiniun troyano de acceso remoto basado en VBS que data de 2013.
Actualmente se desconocen los orígenes de los actores de amenazas, aunque se ha observado que usan un inglés entrecortado durante sus conversaciones con los agentes de servicio al cliente. Algunos indicadores de compromiso (IoC) asociados con la campaña fueron previamente compartido por MalwareHunterTeam en octubre de 2022.
«Este es un vector de ataque altamente efectivo para la industria del juego y las apuestas», dijo Felipe Duarte, investigador principal de amenazas de Security Joes.
«El malware de segunda etapa de JavaScript compilado nunca antes es muy complejo de diseccionar, lo que demuestra que estamos tratando con un actor de amenazas hábil con el potencial de ser patrocinado por un propietario de intereses».