Una versión actualizada de un cargador de malware con nombre en código IceXLoader se sospecha que ha comprometido miles de máquinas Windows personales y empresariales en todo el mundo.
IceXLoader es un malware básico que se vende por $118 en foros clandestinos por una licencia de por vida. Se emplea principalmente para descargar y ejecutar malware adicional en hosts violados.
En junio pasado, Fortinet FortiGuard Labs dijo que descubrió una versión del troyano escrita en el lenguaje de programación Nim con el objetivo de evadir el análisis y la detección.
«Si bien la versión descubierta en junio (v3.0) parecía un trabajo en progreso, recientemente observamos un nuevo cargador v3.3.3 que parece ser completamente funcional e incluye una cadena de entrega de varias etapas», Natalie Zargarov, ciberseguridad. investigador de Minerva Labs, dijo en un informe publicado el martes.
IceXLoader se distribuye tradicionalmente a través de campañas de phishing, con correos electrónicos que contienen archivos ZIP que funcionan como desencadenantes para implementar el malware. Las cadenas de infección han aprovechado IceXLoader para entregar DarkCrystal RAT y mineros de criptomonedas.
En la secuencia de ataque detallada por Minerva Labs, se descubrió que el archivo ZIP alberga un cuentagotasque descarga un descargador basado en .NET que, como su nombre lo indica, descarga una imagen PNG («Ejvffhop.png») desde una URL codificada.
Este archivo de imagen, otro cuentagotas, se convierte posteriormente en una matriz de bytes, lo que le permite descifrar e inyectar IceXLoader en un nuevo proceso usando una técnica llamada proceso de vaciado.
La versión 3.3.3 de IceXLoader, al igual que su predecesora, está escrita en Nim y está equipada para recopilar metadatos del sistema, todos los cuales se extraen a un dominio controlado por un atacante remoto, mientras se esperan más comandos emitidos por el servidor.
Los comandos incluyen la capacidad de reiniciar y desinstalar el cargador de malware y detener su ejecución. Pero su característica principal es descargar y ejecutar malware de próxima etapa en el disco o sin archivos en la memoria.
Minerva Labs dijo que un archivo de base de datos SQLite alojado en el servidor de comando y control (C2) se actualiza continuamente con información sobre miles de víctimas, y agregó que está en proceso de notificar a las empresas afectadas.