Istruzioni per la rimozione del malware Ice Breaker
Scitto da Tomas Meskauskas il (aggiornato)
Cos'è Ice Breaker?
Ice Breaker è un malware di tipo backdoor scritto in Node.js. Le campagne che coinvolgono questo programma dannoso sono state identificate per la prima volta nel 2022 da Security Joes. Questi attacchi hanno preso di mira le industrie del gioco e del gioco d'azzardo ed erano particolarmente riconoscibili grazie alle tecniche di ingegneria sociale impiegate dai criminali informatici.
Al momento in cui scriviamo, gli autori delle minacce dietro le campagne Ice Breaker non sono identificati come appartenenti a uno specifico gruppo di hacker o area geografica. Tuttavia, ci sono prove che suggeriscono che questi criminali non sono di madrelingua inglese.
Panoramica del malware Ice Breaker
Le campagne Ice Breaker osservate sono iniziate con attori delle minacce che cercavano l'assistenza di canali di supporto per piattaforme di gioco/gioco d'azzardo. Il supporto doveva essere gestito dall'uomo e i criminali informatici hanno mostrato una preferenza per i non madrelingua inglese, anche se loro stessi non parlavano correntemente la lingua richiesta. Questa scelta potrebbe essere fatta per nascondere l'inettitudine dei criminali con la lingua inglese e/o ridurre al minimo la comunicazione.
In genere, al supporto mirato sono state presentate false affermazioni relative a tentativi falliti di accesso o registrazione di un nuovo account. Come spiegazione dell'errore fasullo, i criminali informatici hanno inviato "screenshot" tramite link per il download.
Nella maggior parte dei casi, i file dannosi erano ospitati su falsi siti di hosting di file che imitavano quelli legittimi, in particolare gli URL con l'uso di caratteri simili (attacco omografo IDN). Tuttavia, è stato utilizzato anche il servizio di hosting Dropbox. Gli attori delle minacce miravano al supporto per aprire il file dannoso. Il principale utilizzato dai criminali era un file LNK e solo se l'inganno falliva ricorrevano alla condivisione di un collegamento per il download di un file VBS.
Quest'ultimo è progettato per infettare i dispositivi con il malware DUNIHI. Il primo è camuffato con un nome file previsto per uno screenshot e l'icona del file immagine utilizzata da Windows. Dopo che questo file LNK è stato aperto, avvia un processo di ricerca delle credenziali e utilizza la reverse shell per promuovere la catena di infezione che culmina in un'infezione Ice Breaker.
Ice Breaker utilizza varie misure anti-analisi (ad es. dumping di file esca, mascheramento da software legittimo, ecc.) per complicare il rilevamento e gli sforzi di reverse engineering.
A seguito di un'infiltrazione riuscita, questo malware può esfiltrare file, estrarre cookie internet e nomi utente/password dai browser (in particolare Google Chrome) e acquisire schermate.
Va detto che gli sviluppatori di malware aggiornano spesso le loro creazioni; quindi, è probabile che le future varianti di Ice Breaker abbiano abilità aggiuntive/diverse.
In sintesi, la presenza di software come Ice Breaker su un sistema può causare seri problemi di privacy, perdite finanziarie e furto di identità. Poiché questo programma dannoso è stato utilizzato per prendere di mira le aziende, le conseguenze di questi attacchi possono essere particolarmente gravi.
Se ritieni che il tuo sistema sia stato infettato da Ice Breaker (o altro malware), ti consigliamo vivamente di eseguire una scansione completa del sistema con un antivirus e di rimuoverlo senza indugio.
Nome | Ice Breaker virus |
Tipo di minaccia | Trojan, password-stealing virus, banking malware, spyware. |
Nomi rilebati | Avast (Win64:Malware-gen), Fortinet (Malicious_Behavior.SB), Kaspersky (Trojan.Win64.Alien.aeb), Panda (Trj/Chgt.AD), Rising (Trojan.Alien!8.5E97 (CLOUD)), Symantec (ML.Attribute.HighConfidence), Elenco dei rilevamenti (VirusTotal) |
Rilevamenti VirusTotal di domini correlati | screenshotcap[.]com, screenshotlite[.]com |
Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crack" del software. |
Danni | Furti di password e informazioni bancarie, furto di identità, computer della vittima aggiunto a una botnet. |
Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
I malware in generale
Abbiamo analizzato migliaia di campioni di malware; GoogleUpdate malware, zgRAT, PrintManager, Creal, PY#RATION, Album Stealer – sono solo alcune delle nostre scoperte più recenti.
Il software dannoso può avere un'ampia varietà di funzionalità e usi. Può essere progettato per rubare informazioni, causare infezioni a catena, crittografare i dati a scopo di riscatto (ransomware), monitorare le vittime, abusare delle risorse di sistema per estrarre la criptovaluta (minatori di criptovaluta), ecc.
Tuttavia, indipendentemente dal modo in cui opera il malware, la presenza di questo software su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, consigliamo vivamente di eliminare le minacce immediatamente dopo il rilevamento.
In che modo Ice Breaker si è infiltrato nel mio computer?
Come descritto in precedenza, è stato osservato che Ice Breaker viene proliferato impiegando tattiche di ingegneria sociale. Nelle campagne ricercate, questo malware è stato utilizzato per prendere di mira le industrie del gioco d'azzardo e dei giochi. Gli autori delle minacce hanno cercato di indurre il supporto gestito dall'uomo a scaricare e aprire file LNK o VBS dannosi. Il primo ha infettato i dispositivi con Ice Breaker, mentre il secondo con DUNIHI.
Tuttavia, va detto che altri metodi di distribuzione non sono improbabili. Nella maggior parte dei casi, il malware viene diffuso tramite phishing e ingegneria sociale. I file infetti sono solitamente mascherati o raggruppati con contenuti ordinari. Nel caso di Ice Breaker, i file avevano nomi che implicavano che fossero schermate e utilizzavano icone di file immagine di Windows.
Le tecniche di distribuzione del malware più utilizzate includono: download drive-by, allegati/collegamenti dannosi in email e messaggi di spam, canali di download dubbi (ad es. siti di freeware e di terze parti, reti di condivisione peer-to-peer, ecc.), online truffe, malvertising, strumenti di attivazione di programmi illegali ("cracking") e falsi aggiornamenti.
Come evitare l'installazione di malware?
Ti consigliamo di prestare attenzione alle e-mail in arrivo e ad altri messaggi. Gli allegati o i collegamenti trovati nella posta sospetta/irrilevante non devono essere aperti, in quanto possono essere infettivi. Un'altra raccomandazione è di fare attenzione durante la navigazione poiché i contenuti online falsi e dannosi di solito appaiono ordinari e innocui.
Consigliamo inoltre di scaricare solo da fonti ufficiali e affidabili. È altrettanto importante attivare e aggiornare i programmi utilizzando funzioni/strumenti forniti da sviluppatori legittimi, poiché gli strumenti di attivazione illegale ("crack") e gli aggiornamenti di terze parti possono contenere malware.
Dobbiamo sottolineare che avere un antivirus affidabile installato e aggiornato è fondamentale per la sicurezza del dispositivo/utente. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Falso sito Web di hosting di file che promuove il file LNK dannoso (progettato per infettare i dispositivi con Ice Breaker):
Il file dannoso LNK (scorciatoia) mascherato da immagine:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è Ice Breaker?
- STEP 1. Rimozione manuale del malware Ice Breaker.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Windows 8:
Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.
Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Domande Frequenti (FAQ)
Il mio computer è stato infettato dal malware Ice Breaker, devo formattare il mio dispositivo per eliminarlo?
No, la maggior parte dei programmi dannosi può essere rimossa senza ricorrere alla formattazione.
Quali sono i maggiori problemi che il malware Ice Breaker può causare?
Le minacce poste da un'infezione dipendono dalle capacità del programma dannoso e dagli obiettivi dei criminali informatici. La funzionalità principale di Ice Breaker è il furto di dati. In generale, tali infezioni possono causare gravi problemi di privacy, perdite finanziarie e furto di identità. Questo malware è stato utilizzato in attacchi mirati alle industrie del gioco e del gioco d'azzardo; pertanto, queste infezioni possono avere conseguenze devastanti per le aziende compromesse.
Qual è lo scopo del malware Ice Breaker?
Nella maggior parte dei casi, il malware viene utilizzato per generare entrate. Tuttavia, i criminali informatici possono anche utilizzare questo software per divertirsi, compiere vendette personali, eseguire spionaggio aziendale, interrompere i processi (ad esempio siti Web, servizi, aziende, ecc.) e persino lanciare attacchi con motivazioni politiche/geopolitiche.
In che modo il malware Ice Breaker si è infiltrato nel mio computer?
Nelle campagne Ice Breaker che hanno preso di mira le industrie del gioco d'azzardo, questo malware è stato diffuso utilizzando l'ingegneria sociale. I criminali informatici fingevano di essere utenti con problemi di accesso/registrazione e tentavano di indurre il supporto a scaricare e aprire file dannosi.
Tuttavia, il malware viene diffuso utilizzando varie tecniche e non è improbabile che ciò accada con Ice Breaker. Il software dannoso viene diffuso principalmente tramite download drive-by, posta spam, truffe online, malvertising, fonti di download dubbie (ad es. siti non ufficiali e freeware, reti di condivisione P2P, ecc.), strumenti di attivazione di software illegali ("crack") e falsi aggiornamenti. Inoltre, alcuni programmi dannosi possono auto-diffondersi attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio dischi rigidi esterni, unità flash USB, ecc.).
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner è progettato per rilevare e rimuovere le minacce. È in grado di eliminare quasi tutte le infezioni da malware conosciute. Si noti che poiché il software dannoso sofisticato in genere si nasconde in profondità all'interno dei sistemi, l'esecuzione di una scansione completa del sistema è fondamentale.
▼ Mostra Discussione