Portada » Home » La nueva variante del cargador de malware IceXLoader está infectando víctimas alrededor del mundo

La nueva variante del cargador de malware IceXLoader está infectando víctimas alrededor del mundo

Se sospecha que una versión actualizada de un cargador de malware con nombre en código IceXLoader ha comprometido miles de máquinas Windows personales y empresariales en todo el mundo.

IceXLoader es un malware básico que se vende por $118 en foros clandestinos por una licencia de por vida. Se emplea principalmente para descargar y ejecutar malware adicional en hosts violados.

En junio pasado, Fortinet FortiGuard Labs dijo que descubrió una versión del troyano escrita en el lenguaje de programación Nim con el objetivo de evadir el análisis y la detección.

«Si bien la versión descubierta en junio (v3.0) parecía un trabajo en progreso, recientemente observamos un nuevo cargador v3.3.3 que parece ser completamente funcional e incluye una cadena de entrega de varias etapas», Natalie Zargarov, ciberseguridad. investigador de Minerva Labs, en un informe publicado el martes.

IceXLoader se distribuye tradicionalmente a través de campañas de phishing, con correos electrónicos que contienen archivos ZIP que funcionan como desencadenantes para implementar el malware. Las cadenas de infección han aprovechado IceXLoader para entregar DarkCrystal RAT y mineros de criptomonedas.

Imagen vía HackerNews

En la secuencia de ataque detallada por Minerva Labs, se descubrió que el archivo ZIP alberga un cuentagotas, que descarga un descargador basado en .NET que, como su nombre lo indica, descarga una imagen PNG («Ejvffhop.png») desde un disco duro. URL codificada.

Este archivo de imagen, otro cuentagotas, se convierte posteriormente en una matriz de bytes, lo que le permite descifrar e inyectar IceXLoader en un nuevo proceso mediante una técnica denominada vaciado de procesos.

La versión 3.3.3 de IceXLoader, al igual que su predecesora, está escrita en Nim y está equipada para recopilar metadatos del sistema, todos los cuales se extraen a un dominio controlado por un atacante remoto, mientras se esperan más comandos emitidos por el servidor.

Los comandos incluyen la capacidad de reiniciar y desinstalar el cargador de malware y detener su ejecución. Pero su característica principal es descargar y ejecutar malware de próxima etapa en el disco o sin archivos en la memoria.

Minerva Labs dijo que un archivo de base de datos SQLite alojado en el servidor de comando y control (C2) se actualiza continuamente con información sobre miles de víctimas, y agregó que está en proceso de notificar a las empresas afectadas.