Expertos advierten de ciberataques “rompehielos”, dirigidos al sector del juego y las apuestas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una nueva campaña de ataques tiene como objetivo los sectores del juego y las apuestas desde al menos septiembre de 2022, unos meses antes del evento ferial de la industria del juego ICE London 2023 que se celebrará la próxima semana.

La empresa israelí de ciberseguridad Security Joes está rastreando el clúster de actividad bajo el nombre de Ice Breaker, afirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para desplegar una puerta trasera JavaScript.

La secuencia del ataque es la siguiente: El actor de la amenaza se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de un sitio web de juegos e insta a la persona al otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.

Security Joes dijo que el actor de la amenaza es “muy consciente del hecho de que el servicio de atención al cliente está operado por humanos”.

Al hacer clic en el enlace malicioso enviado en el chat se obtiene una carga útil LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.

El archivo JavaScript tiene todas las características de un backdoor típico, permitiendo al actor de la amenaza enumerar los procesos en ejecución, robar contraseñas y cookies, exfiltrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto, e incluso abrir un proxy inverso en el host comprometido.

En caso de que el descargador VBS sea ejecutado por la víctima, la infección culmina con el despliegue de Houdini, un troyano de acceso remoto basado en VBS que data de 2013.

Actualmente se desconoce el origen de los actores de la amenaza, aunque se les ha observado utilizando un inglés entrecortado durante sus conversaciones con los agentes de atención al cliente. Algunos indicadores de compromiso (IoC) asociados con la campaña fueron compartidos previamente por MalwareHunterTeam en octubre de 2022.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *