Hackere retter seg mot spill- og gamblingplattformer ved å bruke Ice Breaker-bakdøren og sosiale ingeniørmetoder.
Ice Breaker Malware setter spill- og gamblingselskaper i fare
En ondsinnet kampanje som strekker seg tilbake til september 2022 er rettet mot spill- og gamblingplattformer som bruker sosial ingeniørkunst.
1. februar 2022 publiserte det israelske nettsikkerhetsfirmaet Security Joes et innlegg om Ice Breaker-malware og bruken av den i en måneder lang kampanje som fant sted bare noen måneder før ICE 2023. Denne begivenheten vil samle tusenvis av spillentusiaster mellom 7. og 9. februar 2023. Som du kanskje har gjettet, får skadevaren navnet sitt fra selve hendelsen.
I dette sosialingeniørbaserte angrepet utgir den ondsinnede operatøren seg som en kunde for å distribuere bakdøren.
IceBreaker angrepsmetoden er "utspekulert og klok"
I Security Joes innlegg, ble Ice Breaker malware (kalt "Ice Breaker APT") beskrevet som "utspekulert og klok", med muligheten til å hacke plattformer ved hjelp av en bakdør. Men først må operatøren overtale målet til å åpne en LNK- eller ZIP-fil. På dette tidspunktet er angriperen "bare noen skritt unna å høste legitimasjon, åpne et omvendt skall og start den andre fasen av angrepet."
Det er forskjellige indikatorer som Security Joes har oppført for denne typen hack, inkludert at besøkende ikke har en konto på det målrettede nettstedet til tross for at de hevder at de har problemer med å logge på. En annen indikator er at angriperen sender en lenke for å laste ned skjermbildet av problemet fra et eksternt nettsted, i stedet for bare å sende et bildevedlegg.
Når angriperen har utplassert Ice Breaker-bakdøren, kan angriperen ta skjermbilder av offerets maskin, stjele legitimasjon, informasjonskapsler og vilkårlige filer, utføre tilpasning via plugins for å utvide trusselen, kjøre tilpassede VBS-skript i den infiserte maskinen og generere eksterne skalløkter.
Den unike isbrytermetoden kan bidra til å identifisere operatørene
I det nevnte Security Joes-innlegget uttalte selskapets senior trusselforsker, Felipe Duarte, at "Ice Breaker bruker en veldig spesifikk sosial ingeniørteknikk som til en viss grad ofrer deres identitet". Security Joes administrerende direktør og malware-forsker Ido Naor uttalte også i stykket at "Tidligere har trusselaktører og løsepengevaregrupper ga fra seg stedsidentifikatorene sine ved å gjøre grammatikkfeil mens de samhandlet med vår eksperter."
Så det er måter de sanne identitetene til disse ondsinnede Ice Breaker-operatørene kan avdekkes på. Sikkerhet Joes informerte leserne om at den er "interessert i å dele informasjonen [den har] med infosec-fellesskapet og IT-sikkerheten til gambling-/spillindustrien" når ICE 2023 nærmer seg raskt.
Security Joes fortsetter å undersøke Ice Breaker
Security Joes har allerede stoppet en rekke Ice Breaker-angrep og fortsetter å undersøke kampanjen for å identifisere operatørene og stoppe den ondsinnede satsingen helt. Forhåpentligvis vil firmaet finne suksess i å takle Ice Breaker, og ICE 2023 vil fortsette uten noen cybersikkerhetshendelser.