Μια νέα έκδοση του κακόβουλου λογισμικού “IceXLoader” έχει μολύνει χιλιάδες οικιακούς και εταιρικούς χρήστες μέσω μιας συνεχιζόμενης εκστρατείας phishing.

Δείτε επίσης: Ζευγάρι προσπαθούσε να πουλήσει μυστικά πυρηνικών πολεμικών πλοίων των ΗΠΑ

Οι συγγραφείς του IceXLoader, ενός malware loader που πρωτοεμφανίστηκε φέτος το καλοκαίρι, κυκλοφόρησαν την έκδοση 3.3.3, βελτιώνοντας τη λειτουργικότητα του εργαλείου και εισάγοντας μια αλυσίδα παράδοσης πολλαπλών σταδίων.

Τον Ιούνιο του 2022, η Fortinet ανακάλυψε το IceXLoader – ένα κακόβουλο λογισμικό που βασίζεται στο Nim. Εκείνη την εποχή, βρισκόταν μόνο στην έκδοση 3.0 και φαινόταν να είναι σε εξέλιξη λόγω της έλλειψης βασικών χαρακτηριστικών του.

Δείτε επίσης: Ρώσος χειριστής του LockBit ransomware συνελήφθη στον Καναδά

Την Τρίτη, η Minerva Labs δημοσίευσε μια νέα ανάρτηση που προειδοποιεί ότι η τελευταία έκδοση του IceXLoader σηματοδοτεί την απομάκρυνση από το στάδιο ανάπτυξης beta του έργου.

Για έναν malware loader που προωθείται τόσο επιθετικά στο υπόγειο του εγκλήματος στον κυβερνοχώρο, οποιαδήποτε εξέλιξη αυτού του είδους είναι σημαντική και θα μπορούσε να οδηγήσει σε ξαφνική αύξηση του deployment του.

Ο σημερινός τρόπος παράδοσης

Η διαδικασία μόλυνσης ξεκινά όταν το θύμα κάνει κλικ σε ένα phishing email που περιέχει ένα αρχείο ZIP. Αυτό το αρχείο ZIP στη συνέχεια κατεβάζει τον extractor πρώτου σταδίου στο μηχάνημα του θύματος.

Ο extractor δημιουργεί έναν νέο κρυφό φάκελο (.tmp) στην περιοχή “C:\Users\\AppData\Local\Temp” και αφήνει το εκτελέσιμο αρχείο επόμενου σταδίου, “STOREM~2.exe”.

Ανάλογα με τις ρυθμίσεις εξαγωγής που έχει επιλέξει ο χειριστής, το μολυσμένο σύστημα μπορεί να επανεκκινηθεί. Θα προστεθεί επίσης ένα νέο κλειδί μητρώου το οποίο διαγράφει το φάκελο temp κατά την επανεκκίνηση του υπολογιστή.

Το εκτελέσιμο αρχείο που απορρίφθηκε είναι ένα πρόγραμμα λήψης που ανακτά ένα αρχείο PNG από μια διεύθυνση URL hardcoded και το μετατρέπει σε ένα obfuscated DLL αρχείο που είναι το payload IceXLoader.

Δείτε επίσης: Venus ransomware: Στοχεύει οργανισμούς υγειονομικής περίθαλψης των ΗΠΑ

Μετά την αποκρυπτογράφηση του payload, το dropper εκτελεί ελέγχους για να διασφαλίσει ότι δεν εκτελείται μέσα σε έναν emulator και περιμένει 35 δευτερόλεπτα πριν εκτελέσει το πρόγραμμα φόρτωσης κακόβουλου λογισμικού για να αποφύγει τα sandboxes.

Τέλος, το IceXLoader εισάγεται στη διαδικασία STOREM~2.exe μέσω της διαδικασίας hollowing.

Νέο IceXLoader

Κατά την πρώτη εκκίνηση, η έκδοση 3.3.3 του IceXLoader αντιγράφεται σε δύο καταλόγους που ονομάζονται από το ψευδώνυμο του χειριστή και στη συνέχεια συλλέγει τις ακόλουθες πληροφορίες σχετικά με τον host και τις εξάγει στο C2:

  • Διεύθυνση IP
  • UUID
  • Όνομα χρήστη και όνομα μηχανήματος
  • Windows OS έκδοση
  • Εγκατεστημένα προϊόντα ασφαλείας
  • Παρουσία του .NET Framework v2.0 και/ή v4.0
  • Hardware πληροφορίες
  • Timestamp

Για να διατηρήσει το persistence μεταξύ επανεκκινήσεων, ο malware loader δημιουργεί και ένα νέο registry key που βρίσκεται στη διεύθυνση “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”.

Αυτό το λογισμικό χρησιμοποιεί μια μέθοδο επιδιόρθωσης στη μνήμη στο αρχείο AMSI.DLL για να αποφύγει την ανίχνευση από προϊόντα ασφαλείας όπως το Windows Defender που χρησιμοποιούν τη διεπαφή σάρωσης Antimalware Scan Interface των Microsoft Windows.

Ο loader αναγνωρίζει τις ακόλουθες εντολές:

  • Σταμάτα το execution.
  • Συγκέντρωση πληροφοριών συστήματος και αποστολή στον C2.
  • Εμφάνιση dialog box με καθορισμένο μήνυμα
  • Επανεκκίνηση του IceXLoader
  • Για να κατεβάσετε ένα αρχείο, στείλτε ένα αίτημα GET και ανοίξτε το χρησιμοποιώντας το “cmd/ C”
  • Για να κατεβάσετε το εκτελέσιμο αρχείο, στείλτε ένα αίτημα GET και, στη συνέχεια, εκτελέστε το από τη μνήμη.
  • Αυτός ο κώδικας θα φορτώσει και θα εκτελέσει ένα assembly .NET
  • Ενημέρωση του IceXLoader.
  • Διαγραφή όλων των αρχείων από το δίσκο και διακοπή της λειτουργίας

Η Minerva αναφέρει ότι οι άνθρωποι που βρίσκονται πίσω από αυτή την εκστρατεία δεν θέλουν να διασφαλίσουν τα κλεμμένα δεδομένα, καθώς είναι δυνατή η πρόσβαση στη βάση δεδομένων SQLite με τις κλεμμένες πληροφορίες στη διεύθυνση C2.

Η εκτεθειμένη βάση δεδομένων περιέχει αρχεία που αντιστοιχούν σε χιλιάδες θύματα, που περιέχουν ένα μείγμα μολύνσεων οικιακού και εταιρικού υπολογιστή.

Οι ερευνητές ασφαλείας έχουν ενημερώσει τις εταιρείες που εμφανίζονται στη βάση δεδομένων σχετικά με την έκθεση, αλλά καθημερινά προστίθενται νέες εγγραφές.

Πηγή πληροφοριών: bleepingcomputer.com