Ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού (malware loader) που τον Ιούνιο χαρακτηριζόταν σαν ένα “project σε εξέλιξη” είναι πλέον πλήρως λειτουργικό και μολύνει χιλιάδες εταιρικούς και οικιακούς υπολογιστές με Windows.
Η έκδοση 3 του IceXLoader ανακαλύφθηκε το καλοκαίρι από τα εργαστήρια FortiGuard της Fortinet, η οποία έγραψε ότι οι δυνατότητες του κακόβουλου λογισμικού ήταν ελλιπείς και φαινόταν ότι είχε μεταφερθεί στη γλώσσα προγραμματισμού Nim.
Ωστόσο, ερευνητές από την Minerva Labs την Τρίτη ανέφεραν ότι είχαν εντοπίσει μια νεότερη έκδοση του IceXLoader – την 3.3.3 – που λειτουργεί κανονικά.
Το IceXLoader συλλέγει μεταδεδομένα από το σύστημα – όπως τη διεύθυνση IP, το όνομα χρήστη και το όνομα του μηχανήματος, την έκδοση των Windows και πληροφορίες για την CPU, τη GPU και τη μνήμη – και τα στέλνει σε ένα διακομιστή εντολών και ελέγχου (C2), σύμφωνα με τους ερευνητές.
Εκεί υπάρχει μια βάση δεδομένων SQLite του κακόβουλου λογισμικού, και ενημερώνεται συνεχώς. Σύμφωνα με τους ερευνητές “περιέχει χιλιάδες αρχεία θυμάτων, από ιδιωτικούς οικιακούς και εταιρικούς υπολογιστές”.
Η τιμή του IceXLoader στο dark web ήταν 118 $ (lifetime license) αλλά αυτή την στιγμή δεν γνωρίζουμε πόσο κοστίζει η νέα έκδοση.
Το κακόβουλο λογισμικό εισέρχεται αρχικά στα συστήματα μέσω phishing. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ένα αρχείο ZIP που φιλοξενεί ένα dropper, το οποίο ρίχνει ένα πρόγραμμα λήψης γραμμένο σε .NET. Αυτό το κακόβουλο λογισμικό κατεβάζει ένα άλλο dropper που αποκρυπτογραφεί και εισάγει το IceXLoader.
Το IceXLoader επικοινωνεί άμεσα με τον διακομιστή C2 για περαιτέρω εντολές και επιπλέον κακόβουλο λογισμικό. Σύμφωνα με την FortiGuard, η έκδοση 1.0 του IceXLoader χρησιμοποιήθηκε για τη διανομή του κακόβουλου λογισμικού DCRat – ή Dark Crystal RAT (ένα trojan απομακρυσμένης πρόσβασης), ενώ η έκδοση 3.0 διένειμε ένα Monero miner.
Το IceXLoader έχει μια σειρά από δυνατότητες που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό του από τον Microsoft Defender.
Επιπλέον, το κακόβουλο λογισμικό είναι γραμμένο σε Nim – μια νεότερη γλώσσα προγραμματισμού που μεταγλωττίζεται σε C, C++ και JavaScript. Η Nim έχει υιοθετηθεί τα τελευταία χρόνια από κακόβουλους προγραμματιστές που προσπαθούν να κάνουν τον κακόβουλο κώδικα τους δύσκολο να εντοπιστεί.
Αποτελεί μέρος μιας ευρύτερης τάσης τα τελευταία χρόνια, όπου οι προγραμματιστές κακόβουλου λογισμικού στρέφονται σε νεότερες γλώσσες όπως η Go, η DLang, η Nim και η Rust για μην εντοπίζονται εύκολα.