Une nouvelle campagne d’attaque cible les secteurs des jeux et des jeux d’argent depuis au moins septembre 2022, tout comme le lancement du salon de l’industrie du jeu ICE London 2023 est prévu la semaine prochaine.

La société israélienne de cybersécurité Security Joes suit le cluster d’activités sous le nom de Ice Breaker, déclarant que les intrusions utilisent des tactiques d’ingénierie sociale intelligentes pour déployer une porte dérobée JavaScript.

La séquence d’attaque se déroule comme suit : l’auteur de la menace se fait passer pour un client tout en entamant une conversation avec un agent d’assistance d’une société de jeux sous prétexte qu’il a des problèmes d’enregistrement de compte. L’adversaire demande alors à l’individu à l’autre bout d’ouvrir une image de capture d’écran hébergée sur Dropbox.

Security Joes a déclaré que l’auteur de la menace est « bien conscient du fait que le service client est géré par l’homme ».

Cliquer sur le prétendu lien de capture d’écran envoyé dans le chat entraîne la récupération d’une charge utile LNK ou, alternativement, d’un fichier VBScript comme option de sauvegarde, dont le premier est configuré pour télécharger et exécuter un package MSI contenant un implant Node.js.

Le fichier JavaScript possède toutes les fonctionnalités d’une porte dérobée typique, permettant à l’auteur de la menace d’énumérer les processus en cours d’exécution, de voler des mots de passe et des cookies, d’exfiltrer des fichiers arbitraires, de prendre des captures d’écran, d’exécuter VBScript importé d’un serveur distant et même d’ouvrir un proxy inverse sur le compromis. héberger.

Si le téléchargeur VBS est exécuté par la victime, l’infection aboutit au déploiement de Houdini, un cheval de Troie d’accès à distance basé sur VBS qui remonte à 2013.

Les origines des acteurs de la menace sont actuellement inconnues, bien qu’ils aient été observés en train d’utiliser un anglais approximatif lors de leurs conversations avec des agents du service client. Certains indicateurs de compromission (IoC) associés à la campagne ont déjà été partagés par MalwareHunterTeam en octobre 2022.

« Il s’agit d’un vecteur d’attaque très efficace pour l’industrie des jeux et des jeux d’argent », a déclaré Felipe Duarte, chercheur principal sur les menaces chez Security Joes.

« Le logiciel malveillant de deuxième étape JavaScript compilé, jamais vu auparavant, est très complexe à disséquer, ce qui montre que nous avons affaire à un acteur de menace qualifié avec le potentiel d’être parrainé par un propriétaire d’intérêts. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *