Une nouvelle campagne de logiciels malveillants ciblant les sociétés de jeux et de jeux d’argent a été signalée et porte le nom de code IceBreaker.
Les attaquants contactent la section de support client des entreprises en ligne pour apparemment soulever un problème. Ils joignent une « capture d’écran » pour mettre en évidence leur « problème », qui contient une porte dérobée – jusque-là inconnue des experts – pour pirater leur terminal.
Les attaques sont signalées depuis septembre 2022, et bien que le groupe derrière elles reste un mystère, certaines de leurs actions – comme demander à parler aux agents du service client dans des langues autres que l’anglais – peuvent être des indices de leur identité.
Se cacher dans un JPEG
Quel que soit le groupe, ils semblent utiliser des techniques avancées et ont évité d’être exposés jusqu’à présent.
La société israélienne de cybersécurité Security Joes a pu arrêter trois de ses attaques après avoir analysé les données d’un incident en septembre 2022, mais affirme que la seule reconnaissance publique de l’acteur de la menace était un tweet unique de MalwareHunterTeam (s’ouvre dans un nouvel onglet).
L’entreprise note également que les attaquants ont demandé à parler au service client en espagnol, bien qu’ils aient également été observés en train de converser dans d’autres langues. Quoi qu’il en soit, Security Joes pense que l’anglais n’est pas leur langue maternelle.
Les captures d’écran apparemment jointes qu’ils envoient à ces entreprises contiennent un fichier LNK mais se font passer pour un fichier image JPG. Il récupère la porte dérobée IceBreaker ou télécharge le bien connu Houdini Rat de Visual Basic Script (VBS), qui existe depuis une décennie, depuis le serveur de l’attaquant sans aucune interaction ou interface utilisateur requise.
Le fichier est un JavaScript complexe et compilé, qui, selon Security Joes, peut voler des fichiers et des mots de passe, exécuter des scripts sur le système de la cible et ouvrir un tunnel proxy entre l’attaquant et la victime. Essentiellement, la porte dérobée donne aux pirates le contrôle du système et, de plus, peut permettre une pénétration potentielle supplémentaire au sein du réseau de l’entreprise.
Le téléchargement initié par le fichier LNK est une charge utile MSI contenant le logiciel malveillant et est mal détecté par les services antivirus – Bleeping Computer rapporte que sur 60 analyses sur le site Web d’analyse de virus VirusTotal, le logiciel malveillant n’a été détecté que 4 fois.
Les fichiers leurres dans le logiciel malveillant qui simulent une signature logicielle légitime signifient que ces outils trouvent tout ce qui ne va pas.
Rapport de Security Joes sur IceBreaker (s’ouvre dans un nouvel onglet) contient des conseils sur la façon de repérer le logiciel malveillant si vous pensez qu’il se trouve sur votre système. Recherchez les fichiers de raccourci créés dans le dossier de démarrage et l’ouverture du programme open-source tsocks.exe.