10,1 тыс подписчиков
Злоумышленники атакуют игровые и казино-онлайн компании по всему миру, используя новый бэкдор, которые исследователи компьютерной безопасности уже назвали IceBreaker
Бэкдор новый, но история старая как мир, потому что использует человеческий фактор и картинку. Идея же простая как мычание, хотя исполнение, как говорят эксперты из компании Security Joes, занимающейся расследованием IceBreaker, просто на высшем уровне сложности. Так в чем, собственно, дело?
Человек, представляющийся клиентом таргет-компании, рассказывает суппорту о том, что у него есть проблема. Через некоторое время «клиент» убеждает представителей низового звена суппорта, которые частенько сами с трудом отличают компьютер от холодильника, что проблему гораздо легче будет понять, если на руках у специалиста будет скриншот экрана.
После того как картинка с фейкового сайта скачана и оказывается на рабочем столе, файл ждет своего открытия. Представителям Security Joes удалось перехватить пару файлов и таким образом отбиться от нескольких попыток нападения, поэтому они теперь точно знают, что клик по картинке ведет к ZIP архиву со зловредной ссылкой. Та в свою очередь открывает IceBreaker бэкдор или, как говорят специалисты, Visual Basic Script, скачивающий «червя» Houdini RAT, известного своей зловредностью с 2010 года.
В результате своего исследования специалисты Security Joes собрали следующую информацию об инциденте IceBreaker.
Бэкдор имеет модульную структуру на Node.js и после установки обеспечивает:
-Кастомизацию встроенных угроз через плагины
-Обнаружение процессов
-Похищение паролей и «печенек» из локального хранилища
-Создание нескольких новых зловредных файлов на атакованном компьютере юзера
-Запуск кастомных VBS скриптов
-Создание скриншотов
-Установку сеансов удаленной связи с другими компьютерами
—————
1 минута
3 февраля 2023