Un nuevo jugador ha aparecido en el ciberespacio, con métodos sorprendentemente nuevos. Un grupo previamente desconocido atacó a empresas de juegos de azar y juegos en línea utilizando una puerta trasera aún desconocida, nombrado IceBreaker por los investigadores.
IceBreaker Backdoor aprovecha una nueva forma de phishing
El método de compromiso se basa en el hecho de que los trabajadores de soporte técnico son engañados para que abran capturas de pantalla maliciosas que envía el atacante bajo la apariencia de un problema que el usuario está experimentando. Los primeros ataques se registraron en septiembre. 2022 por especialistas en respuesta a incidentes de Security Joes. Creen que la puerta trasera IceBreaker es obra de un nuevo atacante avanzado que utiliza una táctica de ingeniería social nueva y muy específica..
Analizar la técnica en perspectiva puede dar una imagen más clara de quiénes son.. De todos modos, analizando datos del incidente de septiembre, los investigadores pudieron responder a otros tres ataques antes de que los piratas informáticos pudieran comprometer sus objetivos. La única evidencia pública de la existencia del atacante IceBreaker es un tweet de octubre de MalwareHunterTeam..
"Captura de pantalla-13-28-10-03-2022.jpg.lnk": f97ee203a3dd08ac38d16295dbf9cb0c7476690ba03a05afefed34d7e8cfd44e
Siguiente etapa: https://down.xn--screnshot-iib.net/42600
IDN: captura de pantalla[.]neto
Interesante…
🤔@ShadowChasing1 @h2jazi @StopMalvertisin pic.twitter.com/gS9R8oL1YK— MalwareHunterEquipo (@malwrhunterteam) Octubre 3, 2022
Para entregar una puerta trasera, el atacante se pone en contacto con el servicio de asistencia técnica de la empresa objetivo. Imitan a un usuario que tiene problemas para iniciar sesión o registrarse en un servicio en línea. los piratas informáticos convencer a una persona de soporte para que descargue una imagen que describe el problema mejor de lo que pueden explicar. Los expertos dicen que la imagen suele estar alojada on a fake image hosting service. Este truco tiene como objetivo convencer a la víctima de que fue entregado desde el almacenamiento de Dropbox..
Implementación de la carga útil de IceBreaker
Los enlaces entregados de esta manera conducen a un archivo ZIP. containing a malicious LNK file. Este último descarga la puerta trasera IceBreaker.. Otros casos de ataques a través de soporte técnico involucraron un script de Visual Basic que descarga el Houdini RAT. Este último se utiliza desde al menos 2013. Los piratas informáticos utilizan las capacidades de acceso remoto de este malware para implementar la carga útil final – exactamente, el rompehielos. Los expertos señalaron que el malware descargado es un archivo JavaScript compilado muy sofisticado.. Puede detectar procesos en ejecución., robar contraseñas, y galletas, y abrir un túnel inverso a través de un proxy. También puede recibir y ejecutar scripts recibidos del servidor de control..
El LNK malicioso es la carga útil de primer nivel que distribuye el malware IceBreaker., y el archivo VBS se utiliza como copia de seguridad en caso de que el operador del servicio de asistencia técnica no pueda ejecutar el acceso directo. Aún no se ha identificado el país de origen del nuevo actor, sin embargo, Los investigadores dicen que los diálogos que estudiaron entre el atacante y el personal de apoyo muestran que el actor no es un hablante nativo de inglés. Piden deliberadamente traducir la conversación al español. También se ha observado que hablan otros idiomas.. Representantes de la industria del juego., y no solo, debería permanecer en alarma, ya que los piratas informáticos utilizan un vector de ataque muy eficaz y un nuevo arsenal de malware.
Que sigue?
Las formas de distribución de malware evolucionan constantemente para corresponderse con los elementos circundantes.. Cambios recientes en la política de Microsoft con respecto a la ejecución de macros en los archivos de Internet hizo que este método de entrega de malware fuera casi inútil. Además, después de casi 4 años of total domination of email spam como método de entrega empresas comenzó a implementar formas proactivas de contrarrestar esta amenaza. Por esa razón, buscar nuevas formas de propagación fue un paso bastante obvio..
Táctica que involucra sending a message with a malicious attachment al soporte técnico se anticipó. Además, cualquier contenido multimedia atrae a los gerentes de soporte en su monótono y aburrido flujo de trabajo. Afortunadamente, Esta nueva forma de propagación de malware no está tan extendida ahora, y los piratas informáticos aparentemente encontraron una manera de eludir las restricciones de Microsoft. No obstante, ignorar que los mensajes de apoyo también pueden conllevar peligros distintos del acoso o la crítica es imprudente.