IceXLoader: migliaia di vittime in tutto il mondo

IceXLoader: migliaia di vittime in tutto il mondo

La versione aggiornata del malware IceXLoader include nuove funzionalità che permettono di rubare numerosi dati dai computer delle vittime.
La versione aggiornata del malware IceXLoader include nuove funzionalità che permettono di rubare numerosi dati dai computer delle vittime.

I ricercatori di Minerva Labs hanno scoperto una nuova versione di IceXLoader, un loader che permette ai cybercriminali di scaricare altri malware dal server remoto e infettare i dispositivi Windows. Gli sviluppatori hanno aggiunto diverse funzionalità che sono state sfruttate per colpire migliaia di vittime nel mondo (utenti privati e aziende). Fortunatamente viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza sul mercato.

Nuove funzionalità di IceXLoader 3.3.3

IceXLoader è stato individuato per la prima volta nel mese di giugno. La catena di infezione prevede innanzitutto l’invio di un file ZIP mediante un’email di phishing. All’apertura viene creata una directory temporanea nascosta e scaricato un file eseguibile (downloader). In base ai parametri impostati è possibile riavviare il computer e aggiungere una chiave nel registro per eliminare la directory temporanea.

IceXloader - catena di infezione

Viene quindi eseguito il downloader che scarica un’immagine PNG dal server remoto. Quest’ultima viene successivamente convertita in una DLL offuscata, ovvero in IceXLoader, eseguito dopo 35 secondi di attesa per aggirare eventuali sandbox. La versione 3.3.3 del malware raccoglie numerose informazioni, tra cui indirizzo IP, nome del computer, versione di Windows, prodotti di sicurezza installati, quantità di RAM, tipo di CPU e GPU.

Per garantire la persistenza (esecuzione automatica all’avvio) viene creata una chiave nel registro. Il malware disattiva inoltre la scansione in tempo reale di Microsoft Defender Antivirus e aggiunge alla lista esclusioni le directory in cui è stato copiato. IceXLoader invia infine i dati al server C&C (command and control), dal quale può scaricare altri malware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Minerva Labs
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 13 nov 2022
Link copiato negli appunti