Hackere retter sig mod spil- og gamblingplatforme ved hjælp af Ice Breaker-bagdøren og social engineering-metoder.
Ice Breaker Malware sætter spil- og gamblingvirksomheder i fare
En ondsindet kampagne, der strækker sig tilbage til september 2022, er målrettet mod spil- og gamblingplatforme, der bruger social ingeniørkunst.
Den 1. februar 2022 offentliggjorde det israelske cybersikkerhedsfirma Security Joes et indlæg om Ice Breaker-malware og dets brug i en månedlang kampagne, der fandt sted blot et par måneder før ICE 2023. Denne begivenhed vil samle tusindvis af spilleentusiaster mellem den 7. og 9. februar 2023. Som du måske har gættet, får malwaren sit navn fra selve begivenheden.
I dette social engineering-baserede angreb efterligner den ondsindede operatør en kunde for at implementere bagdøren.
IceBreaker-angrebsmetoden er "udspekuleret og klog"
I den Security Joes indlæg, Ice Breaker malware (kaldet "Ice Breaker APT") blev beskrevet som "udspekuleret og klog", med evnen til at hacke platforme ved hjælp af en bagdør. Men først skal operatøren overtale målet til at åbne en LNK- eller ZIP-fil. På dette tidspunkt er angriberen "kun få skridt væk fra at høste legitimationsoplysninger, åbn en omvendt shell og start 2. fase af angrebet."
Der er forskellige indikatorer, som Security Joes har angivet for denne form for hack, inklusive den besøgende, der ikke har en konto på det målrettede websted på trods af, at de hævder, at de har problemer med at logge ind. En anden indikator er, at angriberen sender et link for at downloade skærmbilledet af problemet fra et eksternt websted i stedet for blot at sende en vedhæftet billedfil.
Når angriberen har installeret Ice Breaker-bagdøren, kan angriberen tage skærmbilleder af offerets maskine, stjæle legitimationsoplysninger, cookies og vilkårlige filer, udføre tilpasning via plugins for at udvide truslen, køre tilpassede VBS-scripts i den inficerede maskine og generere eksterne shell-sessioner.
Den unikke isbrydermetode kan hjælpe med at identificere operatørerne
I det førnævnte Security Joes-indlæg udtalte virksomhedens Senior Threat Researcher, Felipe Duarte, at "Ice Breaker bruger en meget specifik social ingeniørteknik, der i nogen grad ofrer deres identitet". Security Joes CEO og malware-forsker Ido Naor udtalte også i stykket, at "Tidligere har trusselsaktører og ransomware-grupper opgav deres placeringsidentifikatorer ved at lave grammatikfejl, da de interagerede med vores eksperter."
Så der er måder, hvorpå de sande identiteter af disse ondsindede Ice Breaker-operatører kan afsløres. Sikkerhed Joes informerede læserne om, at den er "interesseret i at dele den information [den har] med infosec-fællesskabet og it-sikkerheden i gambling-/spilindustrien", efterhånden som ICE 2023 nærmer sig hastigt.
Security Joes fortsætter med at undersøge Ice Breaker
Sikkerhed Joes har allerede stoppet en række Ice Breaker-angreb og fortsætter med at undersøge kampagnen for at identificere operatørerne og helt sætte en stopper for det ondsindede foretagende. Forhåbentlig vil firmaet finde succes med at tackle Ice Breaker, og ICE 2023 vil fortsætte uden nogen cybersikkerhedshændelser.