IceXLoader αναβαθμισμένος malware loader ρίχνει τα Windows

Ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού ( ) που τον Ιούνιο χαρακτηριζόταν σαν ένα “project σε εξέλιξη” είναι πλέον πλήρως λειτουργικό και μολύνει χιλιάδες εταιρικούς και οικιακούς υπολογιστές με Windows.

Η έκδοση 3 του IceXLoader ανακαλύφθηκε το καλοκαίρι από τα εργαστήρια FortiGuard της Fortinet, η οποία έγραψε ότι οι δυνατότητες του κακόβουλου λογισμικού ήταν ελλιπείς και φαινόταν ότι είχε μεταφερθεί στη γλώσσα προγραμματισμού Nim.

figure 1

Ωστόσο, ερευνητές από την Minerva Labs την Τρίτη ανέφεραν ότι είχαν εντοπίσει μια νεότερη έκδοση του IceXLoader – την 3.3.3 – που λειτουργεί κανονικά.

Το IceXLoader συλλέγει μεταδεδομένα από το σύστημα – όπως τη διεύθυνση IP, το όνομα χρήστη και το όνομα του μηχανήματος, την έκδοση των Windows και πληροφορίες για την CPU, τη GPU και τη μνήμη – και τα στέλνει σε ένα διακομιστή εντολών και ελέγχου (C2), σύμφωνα με τους ερευνητές.

Εκεί υπάρχει μια βάση δεδομένων SQLite του κακόβουλου λογισμικού, και ενημερώνεται συνεχώς. Σύμφωνα με τους ερευνητές “περιέχει χιλιάδες αρχεία θυμάτων, από ιδιωτικούς οικιακούς και εταιρικούς υπολογιστές”.

  Windows 10 21H1 τέλος υποστήριξης, τι κάνω;

Η τιμή του IceXLoader στο dark web ήταν 118 $ (lifetime license) αλλά αυτή την στιγμή δεν γνωρίζουμε πόσο κοστίζει η νέα έκδοση.

Το κακόβουλο λογισμικό εισέρχεται αρχικά στα συστήματα μέσω phishing. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ένα αρχείο ZIP που φιλοξενεί ένα dropper, το οποίο ρίχνει ένα πρόγραμμα λήψης γραμμένο σε .NET. Αυτό το κακόβουλο λογισμικό κατεβάζει ένα άλλο dropper που αποκρυπτογραφεί και εισάγει το IceXLoader.

Το IceXLoader επικοινωνεί άμεσα με τον διακομιστή C2 για περαιτέρω εντολές και επιπλέον κακόβουλο λογισμικό. Σύμφωνα με την FortiGuard, η έκδοση 1.0 του IceXLoader χρησιμοποιήθηκε για τη διανομή του κακόβουλου λογισμικού DCRat – ή Dark Crystal RAT (ένα trojan απομακρυσμένης πρόσβασης), ενώ η έκδοση 3.0 διένειμε ένα Monero miner.

Το IceXLoader έχει μια σειρά από δυνατότητες που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό του από τον .

Επιπλέον, το κακόβουλο λογισμικό είναι γραμμένο σε Nim – μια νεότερη γλώσσα προγραμματισμού που μεταγλωττίζεται σε C, C++ και JavaScript. Η Nim έχει υιοθετηθεί τα τελευταία χρόνια από κακόβουλους προγραμματιστές που προσπαθούν να κάνουν τον κακόβουλο κώδικα τους δύσκολο να εντοπιστεί.
Αποτελεί μέρος μιας ευρύτερης τάσης τα τελευταία χρόνια, όπου οι προγραμματιστές κακόβουλου λογισμικού στρέφονται σε νεότερες γλώσσες όπως η Go, η DLang, η Nim και η Rust για μην εντοπίζονται εύκολα.

malware,loader

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


63  +    =  68