Kampanye serangan dunia maya baru telah menargetkan industri perjudian dan recreation setidaknya sejak September 2022 dan masih berlangsung, di tengah persiapan acara pameran dagang industri recreation ICE London 2023 yang akan dimulai pada 7 Februari.
Baru-baru ini, perusahaan cybersecurity Israel Safety Joes telah melacak kampanye tersebut dan mengungkapkan bahwa cluster aktivitas, yang telah beroperasi dengan nama Ice Breaker, telah terlibat dalam penyusupan tersebut. Yang terakhir menggunakan beberapa taktik rekayasa sosial yang cerdas yang bertujuan untuk menyebarkan backdoor JavaScript agar intrusi dapat terjadi.
Seperti yang diungkapkan oleh Safety Joes, urutan serangan berlangsung di bawah skema tertentu – aktor ancaman menyamar sebagai pelanggan saat memulai obrolan dengan agen layanan pelanggan dari operator perjudian dengan alasan mereka memiliki beberapa masalah saat mendaftarkan akun. perusahaan. Dalam hal ini, penyerang sangat menyadari fakta bahwa layanan pelanggan perusahaan dioperasikan oleh manusia. Individu kemudian meminta agen layanan pelanggan untuk membuka gambar tangkapan layar yang dihosting di Dropbox, yang memastikan penyediaan pintu belakang JavaScript yang diperlukan untuk penyerang dunia maya.
Segera setelah agen layanan pelanggan mengeklik tautan tangkapan layar yang diklaim dikirim oleh “pelanggan”, muatan LNK atau file VBScript diambil, dengan keduanya dikonfigurasikan secara khusus untuk mengunduh dan menjalankan paket MSI yang membawa Node. js implan.
Penyerang Bertopeng saat Pelanggan Perusahaan Perjudian Mendapatkan Akses ke Knowledge Inner Sensitif
Seperti yang diungkapkan oleh perusahaan keamanan siber Israel, file yang berisi JavaScript memiliki semua fitur pintu belakang tipikal, yang memungkinkan penyerang mendapatkan akses ke proses yang sedang berjalan, mengekstraksi file sewenang-wenang, menjalankan VBScript yang diimpor dari server jarak jauh, mencuri cookie dan kata sandi, mengambil tangkapan layar, dan bahkan membuka proxy terbalik di situs internet operator perjudian yang disusupi.
Setelah pengunduh Keamanan Berbasis Virtualisasi (VBS) dijalankan oleh korban, serangan dunia maya diselesaikan dalam penerapan trojan berbasis VBS yang memastikan akses jarak jauh, yang disebut Houdini, yang dibuat pada tahun 2013.
Untuk saat ini, asal-usul penyerang masih belum diketahui. Seperti yang diklaim oleh Safety Joes dalam laporannya, individu yang mengaku sebagai pelanggan operator perjudian dan mengirimkan trojan akses jarak jauh berbasis VBS telah diamati menggunakan bahasa Inggris yang terpatah-patah pada saat mereka berkomunikasi dengan agen layanan pelanggan perusahaan. Kembali pada bulan Oktober 2022, MalwareHunterTeam membagikan beberapa indikator kompromi yang terkait dengan kampanye serangan dunia maya yang menargetkan perusahaan perjudian dari seluruh dunia.
Peneliti ancaman senior di Safety Joes, Felipe Duarte, menjelaskan bahwa itu adalah vektor serangan yang sangat efektif untuk industri perjudian dan recreation world. Menurut Tn. Duarte, para penyerang telah berhasil mengkompilasi malware tahap kedua JavaScript, yang sangat sulit untuk dibedah, yang membuktikan bahwa siapa pun yang berdiri di belakang serangan memiliki keterampilan dan pengalaman di space tersebut, bahkan dengan potensi disponsori oleh pihak lain. orang atau organisasi yang berkepentingan.
