Ngày 01 tháng 2 năm 2023Ravie LakshmananChơi game / Tấn công mạng
Một chiến dịch tấn công mới đã nhắm mục tiêu vào lĩnh vực trò chơi và cờ bạc kể từ ít nhất là tháng 9 năm 2022, chỉ vài tháng trước sự kiện hội chợ thương mại ngành công nghiệp trò chơi ICE London 2023 được lên lịch vào tuần tới.
Công ty an ninh mạng Israel Security Joes đang theo dõi cụm hoạt động dưới tên tàu phá băngnêu rõ các vụ xâm nhập sử dụng các chiến thuật kỹ thuật xã hội thông minh để triển khai một cửa hậu JavaScript.
Trình tự tấn công diễn ra như sau: Kẻ đe dọa giả làm khách hàng trong khi bắt đầu cuộc trò chuyện với nhân viên hỗ trợ của một trang web trò chơi và thúc giục cá nhân ở đầu bên kia mở ảnh chụp màn hình được lưu trữ trên Dropbox.
Security Joes nói rằng kẻ đe dọa “biết rõ thực tế rằng dịch vụ khách hàng là do con người vận hành.”
Nhấp vào liên kết độc hại được gửi trong cuộc trò chuyện sẽ dẫn đến việc truy xuất tải trọng LNK hoặc thay vào đó, tệp VBScript làm tùy chọn sao lưu, tệp trước đây được định cấu hình để tải xuống và chạy gói MSI chứa bộ cấy Node.js.
Tệp JavaScript có tất cả các tính năng của một cửa hậu điển hình, cho phép tác nhân đe dọa liệt kê các quy trình đang chạy, đánh cắp mật khẩu và cookie, trích xuất các tệp tùy ý, chụp ảnh màn hình, chạy VBScript được nhập từ máy chủ từ xa và thậm chí mở proxy ngược trên máy chủ bị xâm nhập. chủ nhà.
Nếu nạn nhân thực thi trình tải xuống VBS, quá trình lây nhiễm sẽ lên đến đỉnh điểm khi triển khai Houdini, một trojan truy cập từ xa dựa trên VBS có từ năm 2013.
Hiện vẫn chưa rõ nguồn gốc của những kẻ đe dọa, mặc dù người ta đã quan sát thấy chúng sử dụng tiếng Anh hỏng trong các cuộc trò chuyện với các đại lý dịch vụ khách hàng. Một số chỉ báo về sự xâm phạm (IoC) liên quan đến chiến dịch đã được MalwareHunterTeam chia sẻ trước đó vào tháng 10 năm 2022.
Felipe Duarte, nhà nghiên cứu mối đe dọa cấp cao tại Security Joes, cho biết: “Đây là một vectơ tấn công có hiệu quả cao đối với ngành công nghiệp trò chơi và cờ bạc.
“Phần mềm độc hại JavaScript giai đoạn hai được biên dịch chưa từng thấy trước đây rất phức tạp để phân tích, cho thấy rằng chúng tôi đang đối phó với một tác nhân đe dọa lành nghề có khả năng được tài trợ bởi chủ sở hữu quan tâm.”
