Campanha de ataque cibernético tem como alvo empresas de jogos de azar, alerta empresa israelense de segurança cibernética
Um novo
campanha de ataque cibernético
tem como alvo as induzidas de jogos de azar desde pelo menos setembro de 2022 e ainda está em andamento, em meio aos preparativos para
o evento da feira da indústria de jogos ICE London 2023
que está marcada para começar em 7 de fevereiro.
Recentemente, a empresa israelense de segurança cibernética Security Joes tem acompanhado a campanha e revelado que o cluster de atividades, que tem sido operando sob o nome Ice Breaker , esteve envolvido nas invasões. Este último emprega algumas táticas inteligentes de engenharia social destinadas a implantando um backdoor JavaScript para a invasão passar.
Conforme revelado por Security Joes, a sequência dos ataques ocorre sob um determinado esquema – o agente da ameaça se disfarça de cliente enquanto iniciar um bate-papo com um agente de atendimento ao cliente de uma operadora de jogos de azar sob a desculpa de que eles têm alguns problemas ao registrar uma conta na empresa. Nesse caso, o invasor está perfeitamente ciente do fato de que o atendimento ao cliente da empresa é operada por humanos. O indivíduo então pede ao agente de atendimento ao cliente para abrir uma captura de tela de imagem hospedada no Dropbox, o que garante o fornecimento do backdoor JavaScript necessário para os invasores cibernéticos.
Assim que o agente de atendimento ao cliente clicar no link certo de captura de tela enviado pelo “cliente”, uma carga LNK ou um arquivo VBScript é recuperado, sendo que qualquer um deles foi especialmente configurado para baixar e executar um pacote MSI que traz um Nó. js implantar.
Os invasores mascarados como clientes de empresas de jogos de azar obtiveram acesso a dados internos
Como revelou a empresa israelense de segurança cibernética, o arquivo que contém o JavaScript tem todas as características de um típico backdoor, que permite ao invasor obter acesso a processos em execução, exfiltrar arquivos arbitrários, executar VBScript importado de um servidor remoto, roubar cookies e capturas, capturas de tela e até abrir um proxy reverso no site do operador de jogo comprometido.
Depois que o downloader de segurança baseado em virtualização (VBS) é executado pela vítima, o ataque cibernético é finalizado na implantação de um trojan baseado em VBS garantindo acesso remoto, chamado Houdini, que foi criado em 2013.
Por enquanto, as origens dos atacantes permanecem desconhecidas. Conforme afirmado pela Security Joes em seu relatório, os indivíduos que afirmam ser clientes das operadoras de jogos de azar e enviar o trojan de acesso remoto baseado em VBS foram observadas usando inglês incorreto no momento em que se comunicaram com os agentes de atendimento ao cliente das empresas. Em outubro de 2022, o MalwareHunterTeam apresentou alguns indicadores de comprometimento vinculados à campanha de ataque cibernético direcionado a empresas de jogos de azar de todo o mundo.
O sênior de estratégias de Security Joes, Felipe Duarte, explicou que esse era um vetor de ataque altamente eficaz para a indústria global de apostas e jogos. Segundo o Sr. Duarte, os invasores conseguiram compilar um malware JavaScript de segundo estágio, extremamente difícil de dissecar, o que prova que quem está por trás dos ataques tem habilidades e experiência na área, podendo até ser patrocinado por outra pessoa ou organização interessada.
AUTOR: Hanna Wallace

COMENTÁRIOS