IceXLoader: migliaia di vittime in tutto il mondo

()

I ricercatori di Minerva Labs hanno scoperto una nuova versione di IceXLoader, un loader che permette ai cybercriminali di scaricare altri malware dal server remoto e infettare i dispositivi Windows. Gli sviluppatori hanno aggiunto diverse funzionalità che sono state sfruttate per colpire migliaia di vittime nel mondo (utenti privati e aziende). Fortunatamente viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza sul mercato.

Nuove funzionalità di IceXLoader 3.3.3

IceXLoader è stato individuato per la prima volta nel mese di giugno. La catena di infezione prevede innanzitutto l’invio di un file ZIP mediante un’email di phishing. All’apertura viene creata una directory temporanea nascosta e scaricato un file eseguibile (downloader). In base ai parametri impostati è possibile riavviare il computer e aggiungere una chiave nel registro per eliminare la directory temporanea.

IceXloader - catena di infezione

Viene quindi eseguito il downloader che scarica un’immagine PNG dal server remoto. Quest’ultima viene successivamente convertita in una DLL offuscata, ovvero in IceXLoader, eseguito dopo 35 secondi di attesa per aggirare eventuali sandbox. La versione 3.3.3 del malware raccoglie numerose informazioni, tra cui indirizzo IP, nome del computer, versione di Windows, prodotti di sicurezza installati, quantità di RAM, tipo di CPU e GPU.

Per garantire la persistenza (esecuzione automatica all’avvio) viene creata una chiave nel registro. Il malware disattiva inoltre la scansione in tempo reale di Microsoft Defender Antivirus e aggiunge alla lista esclusioni le directory in cui è stato copiato. IceXLoader invia infine i dati al server C&C (command and control), dal quale può scaricare altri malware.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?