.
Um carregador de malware considerado em junho como um “trabalho em andamento” agora está totalmente funcional e infectando milhares de PCs corporativos e domésticos com Windows.
A versão 3 do IceXLoader foi descoberta no verão pelo FortiGuard Labs da Fortinet, que escreveu que os recursos do malware estavam incompletos e parecia ter sido portado para a linguagem de programação Nim.
No entanto, pesquisadores do Minerva Labs na terça-feira relatado que eles detectaram uma iteração mais recente do IceXLoader – versão 3.3.3 – completa com uma cadeia de entrega de vários estágios para código desagradável.
O IceXLoader coleta metadados do sistema – como endereço IP, nome de usuário e nome da máquina, versão do Windows e informações sobre CPU, GPU e memória – e os envia para um servidor de comando e controle (C2), de acordo com o pesquisadores.
Eles escreveram que o arquivo de banco de dados SQLite do malware, que está hospedado no servidor C2 e está sendo atualizado continuamente, “continha milhares de registros de vítimas, que continham” uma mistura de PCs domésticos particulares e PCs corporativos. Começamos a informar as empresas afetadas após a descoberta”, disse
O IceXLoader foi originalmente vendido na dark web por US$ 118 por licença vitalícia por um grupo de desenvolvedores que também vende outros malwares de commodities e afirma ter mais de 200 clientes, escreveu o FortiGuard. O que a nova versão valerá para os criminosos ainda está para ser visto.
O malware inicialmente entra nos sistemas por meio de campanhas de phishing. Os e-mails contêm um arquivo ZIP que abriga um conta-gotas, que descarta um downloader baseado em .NET. Esse malware baixa outro conta-gotas que descriptografa e injeta IceXLoader em um novo processo.
O IceXLoader entra em contato com o servidor C2 para pedidos adicionais e malwares adicionais podem ser implantados no sistema comprometido. De acordo com o FortiGuard, a versão 1.0 do IceXLoader foi usada para distribuir o malware de exfiltração de dados DCRat – ou Dark Crystal RAT (trojan de acesso remoto) – enquanto a versão 3.0 distribuiu um minerador de criptomoeda Monero.
O IceXLoader tem vários recursos projetados para evitar a detecção – incluindo ofuscar o código, não executar dentro do emulador do Microsoft Defender e executar o PowerShell com uma demanda criptografada para atrasar a execução do malware por 35 segundos para evitar sandboxes.
Além disso, o malware é escrito em Nim – uma linguagem de programação mais recente que compila para C, C++ e JavaScript. O Nim foi adotado nos últimos anos por grupos de ameaças para tornar seu código malicioso mais difícil de detectar. Ele foi usado para malware como a variante NimzaLoader do BazarLoader, usada pelo notório grupo de ameaças TrickBot.
É parte de uma tendência maior nos últimos anos de desenvolvedores de malware se voltando para linguagens mais recentes como Go, DLang, Nim e Ferrugem para detecção fácil desonesto.
“O [IceXLoader] os desenvolvedores comercializam seu carregador como FUD (Fully UnDetected), um termo comum usado em fóruns de hackers de malware para denotar malware que pode ignorar produtos antivírus”, escreveram os pesquisadores do FortiGuard. .”
A necessidade de permanecer indetectável provavelmente convenceu os desenvolvedores do malware a fazer a transição do IceXLoader do AutoID nas versões anteriores para o Nim na versão 3 “já que o Nim é uma linguagem relativamente incomum para escrever aplicativos”, escreveram eles. ®
.
