Se ha informado de una nueva campaña de malware dirigida a empresas de juegos y apuestas, cuyo nombre en código es IceBreaker.
Los atacantes se ponen en contacto con la sección de atención al cliente de las empresas en línea para aparentemente plantear un problema. Adjuntan una ‘captura de pantalla’ para resaltar su ‘problema’, que contiene una puerta trasera, nunca antes vista por los expertos, para piratear su terminal.
Los ataques han sido reportados desde septiembre de 2022, y aunque el grupo detrás de ellos sigue siendo un misterio, algunas de sus acciones, como solicitar hablar con agentes de servicio al cliente en idiomas distintos al inglés, pueden ser pistas sobre su identidad.
Esconderse en un JPEG
Sea quien sea el grupo, parecen estar usando técnicas avanzadas y han evitado ser expuestos hasta ahora.
La firma de ciberseguridad israelí Security Joes pudo detener tres de sus ataques después de analizar datos de un incidente en septiembre de 2022, pero dice que el único reconocimiento público del actor de amenazas fue un único tweet de MalwareHunterTeam (se abre en una pestaña nueva).
La firma también señala que los atacantes pidieron hablar con el servicio de atención al cliente en español, aunque también se observó que conversaban en otros idiomas. Independientemente, Security Joes cree que el inglés no es su primer idioma.
Las aparentes capturas de pantalla adjuntas que envían a estas empresas contienen un archivo LNK pero se disfrazan como un archivo de imagen JPG. Recupera la puerta trasera IceBreaker, o descarga el conocido Visual Basic Script (VBS) Houdini Rat, que existe desde hace una década, desde el servidor del atacante sin necesidad de interacción o interfaz del usuario.
El archivo es JavaScript compilado complejo, que según Security Joes puede robar archivos y contraseñas, ejecutar scripts en el sistema del objetivo y abrir un túnel proxy entre el atacante y la víctima. Esencialmente, la puerta trasera le da a los piratas informáticos control sobre el sistema y, lo que es más, puede permitir una mayor penetración potencial dentro de la red de la empresa.
La descarga que inicia el archivo LNK es una carga útil de MSI que contiene el malware y los servicios antivirus no la detectan bien. Bleeping Computer informa que de 60 escaneos en el sitio web de escaneo de virus VirusTotal, el malware solo se detectó 4 veces.
Los archivos de señuelo dentro del malware que fingen una firma de software legítima significan que tales herramientas encuentran algún problema en él.
Informe de Security Joes sobre IceBreaker (se abre en una pestaña nueva) contiene consejos sobre cómo detectar el malware si sospecha que está en su sistema. Busque los archivos de acceso directo creados en la carpeta de inicio y la apertura del programa de código abierto tsocks.exe.