Новости Хакеры используют новую вредоносную программу IceBreaker для взлома игровых компаний

[NewsMaker]

И снова в ходу социальная инженерия, на сей раз злоумышленники дурачат агентов поддержки.​

---

---

Хакерские группировки нацелились на компании, занимающиеся разработкой онлайн-игр, с помощью невиданного ранее бэкдора, который исследователи назвали «IceBreaker» (в переводе: «ледокол»).

Специалисты из службы реагирования на инциденты Для просмотра ссылки Войди или Зарегистрируйся считают, что бэкдор IceBreaker использует «очень специфическую технику социальной инженерии». Метод основан на обмане агентов службы поддержки. Злоумышленник притворяется пользователем, который столкнулся с проблемой, и отправляет вредоносный скриншот сотруднику в чате. Тому ничего не остаётся, как загрузить и открыть файл, ведь нужно помочь пользователю. Именно так агент поддержки и заражает свой компьютер вирусом.

---

---

Схема распространения и активации IceBreaker (Security Joes) Название группировки, стоящей за этими атаками, пока остается неизвестным. Однако, судя по информации Security Joes, такой подход эта группировка использует как минимум с сентября 2022 года. При этом единственным публичным доказательством использования IceBreaker является Для просмотра ссылки Войди или Зарегистрируйся от Для просмотра ссылки Войди или Зарегистрируйся в октябре.

Вредоносное изображение обычно размещается на поддельном веб-сайте, который выдает себя за один из популярных хостингов. Хотя исследователи также видели, что вредоносные скриншоты хранились в обычном хранилище Dropbox.

Само «изображение» на самом деле является вредоносным файлом с расширением «.lnk». По сути, это обычный ярлык Windows, в параметрах которого прописан вредоносный код.

---

---

Ярлык, замаскированный под изображение в формате «.jpg» Как видно на изображении выше, значок ярлыка был изменен, чтобы он выглядел безобидно. Ярлык содержит команду для скачивания Для просмотра ссылки Войди или Зарегистрируйся в формате «.msi» с сервера злоумышленника, её скрытой установки и запуска без пользовательского интерфейса.

Далее по пути «AppData\Local\Temp» извлекается вредоносное приложение «Port.exe», 64-разрядный исполняемый файл на C++.

---

---

Свойства файла Port.exe После тщательного анализа специалисты Security Joes выяснили, что образец представляет собой абсолютно новый бэкдор, написанный на Для просмотра ссылки Войди или Зарегистрируйся . Он предоставляет злоумышленникам следующие возможности:

• настройка бэкдора с помощью плагинов, расширяющих его встроенные функции;
• прописывание бэкдора в автозагрузку Windows;
• обнаружение процессов Windows;
• кража паролей и файлов cookie из локального хранилища, в частности из Google Chrome;
• включение обратного прокси-сервера Socks5;
• выгрузка файлов на удалённый сервер через веб-сокеты;
• запуск пользовательских скриптов VBS;
• создание скриншотов;
• создание сеансов удалённой оболочки.

Если целевая организация не передала услугу поддержки клиентов на аутсорсинг внешнему поставщику, а занимается этим сама — злоумышленники могут использовать бэкдор для кражи учётных данных, перемещения во внутренней сети и расширения своего присутствия в ней.

В настоящее время об IceBreaker известно не так много, но сотрудники Security Joes решили опубликовать Для просмотра ссылки Войди или Зарегистрируйся и поделиться всеми обнаруженными индикаторами компрометации ( Для просмотра ссылки Войди или Зарегистрируйся ), чтобы помочь антивирусным компаниям научиться своевременно определять и устранять угрозу.