MKD-CIRT National Centre for Computer Incident Response
Новата кампања за напад е насочена кон секторите за игри и коцкање од септември 2022 година, токму во моментот кога е закажан саемот за игри ICE London 2023 кој треба да започне следната недела.
Израелската компанија за сајбер безбедност Security Joes го следи кластерот на активности под името Ice Breaker, наведувајќи дека упадите користат паметни social engineering тактики за да шират JavaScript backdoor.
Редоследот на нападите се одвива на следниов начин: хакерот се претставува како клиент додека иницира разговор со агент за поддршка на компанија за игри под изговор дека има проблеми со регистрацијата на сметката. Хакерот потоа ја поттикнува индивидуата од другата страна да отвори screenshot слика хостирана на Dropbox.
Security Joes изјави дека хакерот е „добро свесен за фактот дека клиентската услуга е управувана од луѓе“.
Со кликнување на наводната врска од screenshot испратена во разговорот, се добива LNK payload или, алтернативно, VBScript датотека како резервна опција, од која првата е конфигурирана да презема и подигне MSI пакет кој содржи Node.js имплант.
JavaScript датотеката ги има сите карактеристики на типичен backdoor, овозможувајќи му на хакерот да ги брои процесите што се извршуваат, да краде лозинки и колачиња, да ексфилтрира произволни датотеки, да прави screenshots, да извршува VBScript вметнат од оддалечен сервер, па дури и да отвора reverse proxy на компромитиран домаќин.
Доколку VBS преземањето биде извршено од страна на жртвата, инфекцијата кулминира со ширењето на Houdini, VBS базиран на remote access trojan кој датира од 2013 година.
Потеклото на хакерите во моментов е непознато, иако тие биле забележани како зборуваат англиски за време на нивните разговори со агентите за клиентски услуги.
Некои indicators of compromise (IoCs) поврзани со кампањата беа претходно споделени од MalwareHunterTeam во октомври 2022 година.
„Ова е многу ефикасен тип на напад во индустријата за игри“, изјави Felipe Duarte, постар истражувач за закани во Security Joes.
„Досега невидено компајлираниот JavaScript малициозен софтвер од втората фаза е многу сложен за анализирање, што покажува дека имаме работа со вешт хакер со потенцијал да биде спонзориран од сопственик на интерес“.
Извор: The Hacker News