Ataques Ice Breaker dirigidos a la industria del juego y las apuestas

Iniciado por Dragora, Febrero 02, 2023, 11:59:52 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Una nueva campaña de ataque ha estado apuntando a los sectores del juego y las apuestas desde al menos septiembre de 2022, justo cuando el evento de feria comercial de la industria del juego ICE London 2023 está programado para comenzar la próxima semana.

La empresa de ciberseguridad israelí Security Joes está rastreando el grupo de actividades bajo el nombre de Ice Breaker , afirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para implementar una puerta trasera de JavaScript.

La secuencia de ataque procede de la siguiente manera: el actor de amenazas se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de una compañía de juegos con el pretexto de tener problemas de registro de cuenta. Luego, el adversario insta a la persona del otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.

Security Joes dijo que el actor de amenazas es "muy consciente del hecho de que el servicio al cliente es operado por humanos".

Al hacer clic en el supuesto enlace de captura de pantalla enviado en el chat, se recupera una carga útil de LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.

El archivo JavaScript tiene todas las características de una puerta trasera típica, lo que permite al actor de amenazas enumerar procesos en ejecución, robar contraseñas y cookies, filtrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto e incluso abrir un proxy inverso en el comprometido. anfitrión.


Si la víctima ejecuta el descargador de VBS, la infección culmina con la implementación de Houdini , un troyano de acceso remoto basado en VBS que data de 2013.

Actualmente se desconocen los orígenes de los actores de amenazas, aunque se ha observado que usan un inglés entrecortado durante sus conversaciones con los agentes de servicio al cliente. MalwareHunterTeam compartió previamente algunos indicadores de compromiso (IoC) asociados con la campaña en octubre de 2022.

"Este es un vector de ataque altamente efectivo para la industria del juego y las apuestas", dijo Felipe Duarte, investigador principal de amenazas de Security Joes.

"El malware de segunda etapa de JavaScript compilado nunca antes es muy complejo de diseccionar, lo que demuestra que estamos tratando con un actor de amenazas hábil con el potencial de ser patrocinado por un propietario de intereses".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta