Se sospecha que una versión actualizada de un cargador de malware con nombre en código IceXLoader ha comprometido miles de máquinas Windows personales y empresariales en todo el mundo. IceXLoader es un malware básico que se vende por $118 en foros clandestinos por una licencia de por vida. Se emplea principalmente para descargar y ejecutar […]
Se sospecha que una versión actualizada de un cargador de malware con nombre en código IceXLoader ha comprometido miles de máquinas Windows personales y empresariales en todo el mundo.
IceXLoader es un malware básico que se vende por $118 en foros clandestinos por una licencia de por vida. Se emplea principalmente para descargar y ejecutar malware adicional en hosts violados.
En junio pasado, Fortinet FortiGuard Labs dijo que descubrió una versión del troyano escrita en el lenguaje de programación Nim con el objetivo de evadir el análisis y la detección.
“Si bien la versión descubierta en junio (v3.0) parecía un trabajo en progreso, recientemente observamos un nuevo cargador v3.3.3 que parece ser completamente funcional e incluye una cadena de entrega de varias etapas”, Natalie Zargarov, ciberseguridad. investigador de Minerva Labs, en un informe publicado el martes.
IceXLoader se distribuye tradicionalmente a través de campañas de phishing, con correos electrónicos que contienen archivos ZIP que funcionan como desencadenantes para implementar el malware. Las cadenas de infección han aprovechado IceXLoader para entregar DarkCrystal RAT y mineros de criptomonedas.
Imagen vía HackerNews
En la secuencia de ataque detallada por Minerva Labs, se descubrió que el archivo ZIP alberga un cuentagotas, que descarga un descargador basado en .NET que, como su nombre lo indica, descarga una imagen PNG (“Ejvffhop.png”) desde un disco duro. URL codificada.
Este archivo de imagen, otro cuentagotas, se convierte posteriormente en una matriz de bytes, lo que le permite descifrar e inyectar IceXLoader en un nuevo proceso mediante una técnica denominada vaciado de procesos.
La versión 3.3.3 de IceXLoader, al igual que su predecesora, está escrita en Nim y está equipada para recopilar metadatos del sistema, todos los cuales se extraen a un dominio controlado por un atacante remoto, mientras se esperan más comandos emitidos por el servidor.
Los comandos incluyen la capacidad de reiniciar y desinstalar el cargador de malware y detener su ejecución. Pero su característica principal es descargar y ejecutar malware de próxima etapa en el disco o sin archivos en la memoria.
Minerva Labs dijo que un archivo de base de datos SQLite alojado en el servidor de comando y control (C2) se actualiza continuamente con información sobre miles de víctimas, y agregó que está en proceso de notificar a las empresas afectadas.
Artículos relacionados
Ciberdelincuentes filtran registros de salud australianos en la Dark Web
9 de noviembre de 2022Recientemente, ciberdelincuentes comenzaron a filtrar registros médicos confidenciales robados de una aseguradora de salud australiana con casi 10 millones de clientes, incluido el primer ministro, después de que la empresa se negara a pagar un rescate.
Ataques a la cadena de suministro: Una amenaza en alza que afecta a distintos tipos de organizaciones
11 de noviembre de 2022Las nuevas formas de gestión de los negocios, impulsadas por los cambios globales, transformaron las infraestructuras del trabajo, creando nuevos -y positivos- flujos en la cadena de suministros, pero con un importante costo en la ciberseguridad.
