Una nueva campaña de ataque se ha dirigido a los sectores de juegos y apuestas desde al menos septiembre de 2022, solo unos meses antes del evento de feria comercial de la industria del juego ICE London 2023 que está programado para la próxima semana.
La empresa de ciberseguridad israelí Security Joes está rastreando el grupo de actividades bajo el nombre de Ice Breaker , afirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para implementar una puerta trasera de JavaScript.
La secuencia de ataque procede de la siguiente manera: el autor de la amenaza se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de un sitio web de juegos e insta a la persona del otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.
Security Joes dijo que el actor de amenazas es “muy consciente del hecho de que el servicio al cliente es operado por humanos”.
Al hacer clic en el enlace malicioso enviado en el chat, se recupera una carga LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.
El archivo JavaScript tiene todas las características de una puerta trasera típica, lo que permite al actor de amenazas enumerar procesos en ejecución, robar contraseñas y cookies, filtrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto e incluso abrir un proxy inverso en el comprometido. anfitrión.
Industria del juego y apuestas
Si la víctima ejecuta el descargador de VBS, la infección culmina con la implementación de Houdini , un troyano de acceso remoto basado en VBS que data de 2013.
Actualmente se desconocen los orígenes de los actores de amenazas, aunque se ha observado que usan un inglés entrecortado durante sus conversaciones con los agentes de servicio al cliente. MalwareHunterTeam compartió previamente algunos indicadores de compromiso (IoC) asociados con la campaña en octubre de 2022.
“Este es un vector de ataque altamente efectivo para la industria del juego y las apuestas”, dijo Felipe Duarte, investigador principal de amenazas de Security Joes.
“El malware de segunda etapa de JavaScript compilado nunca antes es muy complejo de diseccionar, lo que demuestra que estamos tratando con un actor de amenazas hábil con el potencial de ser patrocinado por un propietario de intereses”.
Fuente: The Hacker News