Hackers richten zich op gaming- en gokplatforms met behulp van de Ice Breaker-achterdeur en social engineering-methoden.
Ice Breaker-malware brengt gaming- en gokbedrijven in gevaar
Een kwaadaardige campagne die teruggaat tot september 2022 is gericht op gaming- en gokplatforms die gebruikmaken van social engineering.
Op 1 februari 2022 publiceerde het Israëlische cyberbeveiligingsbedrijf Security Joes een bericht over Ice Breaker-malware en het gebruik ervan in een maandenlange campagne die slechts een paar maanden voor ICE 2023 plaatsvond. Dit evenement zal tussen 7 en 9 februari 2023 duizenden gameliefhebbers samenbrengen. Zoals je misschien al geraden hebt, dankt de malware zijn naam aan de gebeurtenis zelf.
Bij deze op social engineering gebaseerde aanval doet de kwaadwillende operator zich voor als een klant om de achterdeur te gebruiken.
De aanvalsmethode van IceBreaker is "sluw en wijs"
In de Beveiliging Joe's bericht, werd de Ice Breaker-malware (genaamd "Ice Breaker APT") beschreven als "sluw en wijs", met de mogelijkheid om platforms te hacken met behulp van een achterdeur. Maar eerst moet de operator het doelwit overtuigen om een LNK- of ZIP-bestand te openen. Op dit punt is de aanvaller "slechts een paar stappen verwijderd van het verzamelen van inloggegevens, het openen van een omgekeerde shell en het starten van de 2e fase van de aanval."
Er zijn verschillende indicatoren die Security Joes opsomt voor dit soort hacks, waaronder de bezoeker die geen account heeft op de getargete site ondanks dat hij beweert problemen te hebben met inloggen. Een andere indicator is dat de aanvaller een link stuurt om de schermafbeelding van het probleem van een externe website te downloaden, in plaats van simpelweg een afbeelding als bijlage te sturen.
Zodra de aanvaller de Ice Breaker-achterdeur heeft ingezet, kan de aanvaller screenshots maken van de machine van het slachtoffer, geloofsbrieven stelen, cookies en willekeurige bestanden, voeren aanpassingen uit via plug-ins om de dreiging uit te breiden, voeren aangepaste VBS-scripts uit op de geïnfecteerde machine en genereren externe shell-sessies.
De unieke ijsbrekermethode kan helpen om de operators te identificeren
In de eerder genoemde functie van Security Joes, verklaarde de Senior Threat Researcher van het bedrijf, Felipe Duarte dat "Ice Breaker een zeer specifieke social engineering-techniek gebruikt die hun identiteit". Beveiliging Joes CEO en malware-onderzoeker Ido Naor verklaarde ook in het stuk dat "In het verleden bedreigingsactoren en ransomware-groepen gaven hun locatie-ID's op door grammaticafouten te maken tijdens hun interactie met onze experts."
Er zijn dus manieren waarop de ware identiteit van deze kwaadaardige Ice Breaker-operators kan worden achterhaald. Beveiliging Joes liet de lezers weten dat het "geïnteresseerd is in het delen van de informatie [die het heeft] met de infosec-gemeenschap en de IT-beveiliging van de gok-/game-industrie", aangezien ICE 2023 snel nadert.
Beveiliging Joes gaat door met onderzoek naar Ice Breaker
Security Joes heeft al een aantal Ice Breaker-aanvallen gestopt en gaat door met het onderzoeken van de campagne om de operators te identificeren en een einde te maken aan de kwaadaardige onderneming. Hopelijk boekt het bedrijf succes bij het aanpakken van Ice Breaker en gaat ICE 2023 door zonder cyberbeveiligingsincidenten.