Una versione aggiornata di un caricatore di malware con il nome in codice di IceXLoader è sospettata di aver compromesso migliaia di macchine Windows personali e aziendali in tutto il mondo. IceXLoader è un malware di base venduto a 118 dollari sui forum underground per una licenza a vita. Viene utilizzato principalmente per scaricare ed eseguire ulteriore malware sugli host violati. Lo scorso giugno, i FortiGuard Labs di Fortinet hanno dichiarato di aver scoperto una versione del trojan scritta nel linguaggio di programmazione Nim con l’obiettivo di eludere l’analisi e il rilevamento.
“Mentre la versione scoperta a giugno (v3.0) sembrava un work-in-progress, abbiamo recentemente osservato un caricatore più recente v3.3.3 che sembra essere completamente funzionante e include una catena di distribuzione a più stadi”, ha dichiarato Natalie Zargarov, ricercatore di cybersicurezza presso Minerva Labs, in un rapporto pubblicato martedì. IceXLoader viene tradizionalmente distribuito attraverso campagne di phishing, con e-mail contenenti archivi ZIP che fungono da innesco per la distribuzione del malware. Le catene di infezione hanno sfruttato IceXLoader per distribuire il RAT DarkCrystal e i minatori di criptovalute.
Nella sequenza di attacco dettagliata da Minerva Labs, è stato rilevato che il file ZIP ospita un dropper, che rilascia un downloader basato su .NET che, come suggerisce il nome, scarica un’immagine PNG (“Ejvffhop.png”) da un URL codificato. Questo file immagine, un altro dropper, viene successivamente convertito in un array di byte, consentendo di fatto di decifrare e iniettare IceXLoader in un nuovo processo utilizzando una tecnica chiamata process hollowing. La versione 3.3.3 di IceXLoader, come il suo predecessore, è scritta in Nim ed è in grado di raccogliere metadati di sistema, tutti esfiltrati in un dominio remoto controllato dall’aggressore, in attesa di ulteriori comandi impartiti dal server. I comandi includono la possibilità di riavviare e disinstallare il caricatore di malware e di arrestarne l’esecuzione. Ma la sua caratteristica principale è quella di scaricare ed eseguire malware di livello successivo su disco o senza file in memoria. Minerva Labs ha dichiarato che un file di database SQLite ospitato nel server di comando e controllo (C2) viene continuamente aggiornato con le informazioni relative a migliaia di vittime, aggiungendo che sta provvedendo a notificare le aziende colpite.
