Hackers têm como alvo as empresas de jogos e apostas online com novo malware IceBreaker

02/02/2023 17:30

Leitura: 5 Minutos

Alguns hackers estão mirando em empresas de jogos e apostas online com o que parece ser um novo malware que os pesquisadores chamaram de IceBreaker.

Empresas de jogos são visadas por hackers em ataques com o malware IceBreaker

Os ataques baseiam-se em enganar os agentes de atendimento ao cliente para abrir capturas de tela maliciosas que o agente da ameaça envia sob o disfarce de um usuário enfrentando um problema. Tais ataques acontecem desde pelo menos setembro de 2022 e o grupo por trás deles permanece desconhecido, com pistas indistintas que apontam para sua origem.

Pesquisadores da empresa de resposta a incidentes Security Joes (Via: Bleeping Computer) acreditam que o backdoor do IceBreaker é obra de um novo ator de ameaça avançada que usa “uma técnica de engenharia social muito específica”, que pode levar a uma imagem mais clara de quem eles são.

Depois de analisar os dados de um incidente em setembro, o Security Joes conseguiu responder a três outros ataques antes que os hackers pudessem comprometer seus alvos. Os pesquisadores dizem que a única evidência pública do agente da ameaça IceBreaker que puderam encontrar foi um tweet do MalwareHunterTeam em outubro.

Enganando atendimento ao cliente

Para entregar o backdoor, o agente da ameaça entra em contato com o suporte ao cliente da empresa-alvo, fingindo ser um usuário com problemas para fazer login ou se registrar no serviço online. Os hackers convencem o agente de suporte a baixar uma imagem que descreva o problema melhor do que eles podem explicar.

Os pesquisadores dizem que a imagem é normalmente hospedada em um site falso que se faz passar por um serviço legítimo, embora também a tenham visto sendo entregue a partir de um armazenamento do Dropbox.

hackers-tem-como-alvo-as-empresas-de-jogos-e-apostas-online-com-novo-malware-icebreaker — Imagem: Reprodução | Bleeping Computer

De acordo com o SecurityJoes, os diálogos examinados entre o agente da ameaça e os agentes de suporte indicam que o IceBreaker não é um falante nativo de inglês e pede propositalmente para falar com agentes que falam espanhol. No entanto, eles foram vistos falando outras línguas também.

Os links entregues desta forma levam a um arquivo ZIP contendo um arquivo LNK malicioso que busca o backdoor do IceBreaker, ou um script Visual Basic que baixa o Houdini RAT que está ativo desde pelo menos 2013.

Os pesquisadores do Security Joes dizem que o malware baixado é “um arquivo JavaScript compilado altamente complexo” que pode descobrir processos em execução, roubar senhas, cookies e arquivos, abrir um túnel de proxy para o invasor e executar scripts recuperados do servidor do invasor.

A porta dos fundos do IceBreaker

O LNK malicioso é a principal carga útil de primeiro estágio que entrega o malware IceBreaker, enquanto o arquivo VBS é usado como backup, caso o operador de suporte ao cliente não consiga executar o atalho. O arquivo de atalho malicioso se apresenta como imagem JPG e tem sua extensão modificada de acordo. A carga MSI baixada tem uma taxa de detecção muito baixa no Virus Total, retornando apenas 4 positivos em 60 verificações.

O pacote MSI apresenta um grande conjunto de arquivos chamariz para evitar ferramentas de detecção e mecanismos de análise baseados em assinatura. A camada final é um arquivo CAB extraído para a pasta temporária da vítima, descartando a carga útil “Port.exe”.

O Security Joes diz que este é um executável C++ de 64 bits com uma sobreposição incomum, mantendo uma parte dos dados anexada ao final do arquivo. Os analistas acreditam que esta é uma forma de esconder recursos adicionais de produtos de segurança.

Os pesquisadores publicaram um relatório técnico descrevendo o modus operandi do agente da ameaça e como seu backdoor funciona. As regras da YARA também foram publicadas para ajudar as organizações a detectar o malware.

Além disso, o Security Joes recomenda que as empresas que suspeitem de uma violação do IceBreaker procurem arquivos de atalho criados na pasta de inicialização e verifiquem a execução não autorizada da ferramenta de código aberto tsocks.exe.

Assuntos

Mais Notícias

Mais artigos

Malware Telegram

Telegram: falha no aplicativo é explorada para espalhar malware oculto em vídeos

Uma falha de segurança no aplicativo móvel do Telegram para Android, chamado EvilVideo, possibilitou que invasores espalhassem malware em vídeos aparentemente inofensivos. Atualização: Abaixo, declaração da Assessoria do Telegram: Esse exploit não é uma vulnerabilidade no Telegram. Seria necessário que os usuários abrissem o vídeo, ajustassem as configurações de segurança do Android e instalassem manualmente […]

Relatório aponta que o Brasil ocupa a sétima colocação entre os países que mais recebem ataques de ransomwares

A ISH Tecnologia emitiu um relatório que compila dados extensivos sobre incidentes de ataques de ransomwares que impactaram setores críticos no primeiro semestre de 2024 pelo mundo. Segundo esse relatório, o Brasil ocupa a sétima colocação entre os países que mais recebem ataques de ransomwares. Ataques de ransomwares As vulnerabilidades desse ano incluem falhas severas […]

Imagem com homem de costas, simbolizando crime cibernético

Segundo a Microsoft, a gangue Octo Tempest adicionou os ransomwares RansomHub e Qilin ao seu arsenal

A Microsoft revelou que no segundo trimestre desse ano, a gangue de crimes cibernéticos Octo Tempest adicionou os ransomwares RansomHub e Qilin ao seu arsenal de ataques. Octo Tempest adiciona os ransomwares RansomHub e Qilin ao seu arsenal De acordo com a Microsoft, no segundo trimestre de 2024, o agente de ameaças com motivação financeira […]

Imagem com logomarca do facebook em feixes de luz

Anúncios do Facebook estão espalhando malware que rouba informações

Cibercriminosos estão usando páginas comerciais e anúncios do Facebook para promover temas falsos do Windows que infectam usuários desavisados com o malware SYS01. Esse malware é um ladrão de informações e rouba senhas dos usuários da rede social. Anúncios do Facebook espalhando malware Pesquisadores da Trustwave que observaram as campanhas (Via: Bleeping Computer) disseram que […]

Ransomware SEXi muda de nome para APT INC e continua mirando em servidores VMware ESXi

A operação de ransomware SEXi é conhecida por ter como alvo servidores VMware ESXi. Bom, o malware continua mirando nesses servidores, mas agora com outro nome, o APT INC. Inclusive, esse malware teve como alvo diversas organizações em ataques recentes. Ransomware SEXi Os cibercriminosos começaram a atacar organizações em fevereiro de 2024 usando o criptografador […]

malware-gootloader-ativo-e-implantando-novas-versoes

Malware GootLoader ativo e implantando novas versões

O malware conhecido como GootLoader continua em uso ativo por agentes de ameaças que buscam entregar cargas adicionais a hosts comprometidos. Novas versões do malware continuam sendo implantadas pelos cibercriminosos. Malware GootLoader ativo “Atualizações na carga útil do GootLoader resultaram em várias versões do GootLoader, com o GootLoader 3 atualmente em uso ativo”, disse a […]