Фишинговая кампания, распространяющая загрузчик IceXLoader, уже затронула тысячи домашних и корпоративных пользователей,
эксперты Minerva Labs.
IceXLoader обновился до версии 3.3.3, в которой была расширена функциональность и появилась многоступенчатая цепочка доставки.
Напомню, что эта построенная на базе Nim малварь была компанией Fortinet в июне 2022 года. Тогда по сети распространялся IceXLoader версии 3.0, но в загрузчике отсутствовали ключевые функции, и в целом он выглядел незаконченным. Теперь в Minerva Labs предупреждают, что последняя версия вредоноса явно знаменует собой завершение стадии бета-теста.
Сейчас атаки IceXLoader начинаются с фишинговых писем, к которым прилагается файл ZIP, содержащий экстрактор первой фазы. Этот экстрактор создает на машине жертвы новую скрытую папку (.tmp) в C:\Users\<username>\AppData\Local\Temp и загружает исполняемый файл следующей фазы атаки — STOREM~2.exe.
Этот исполняемый файл представляет собой загрузчик, который извлекает PNG с жестко закодированного URL-адреса и преобразует его в обфусцированный файл DLL, который представляет собой полезную нагрузку IceXLoader.
После расшифровки этого пейлоада, дроппер выполняет проверки, чтобы убедиться, что работает не внутри эмулятора, и выжидает 35 секунд, прежде чем запустить загрузчик малвари и обойти песочницы. В итоге IceXLoader встраивается в процесс STOREM~2.exe с помощью техники process hollowing.
Исследователи рассказывают, что при первом запуске IceXLoader 3.3.3 копирует себя в две директории, названные по нику оператора, а затем собирает следующую информацию о хосте и передает ее на управляющий сервер:
В настоящее время загрузчик поддерживает следующие команды:
IceXLoader обновился до версии 3.3.3, в которой была расширена функциональность и появилась многоступенчатая цепочка доставки.
Напомню, что эта построенная на базе Nim малварь была компанией Fortinet в июне 2022 года. Тогда по сети распространялся IceXLoader версии 3.0, но в загрузчике отсутствовали ключевые функции, и в целом он выглядел незаконченным. Теперь в Minerva Labs предупреждают, что последняя версия вредоноса явно знаменует собой завершение стадии бета-теста.
Сейчас атаки IceXLoader начинаются с фишинговых писем, к которым прилагается файл ZIP, содержащий экстрактор первой фазы. Этот экстрактор создает на машине жертвы новую скрытую папку (.tmp) в C:\Users\<username>\AppData\Local\Temp и загружает исполняемый файл следующей фазы атаки — STOREM~2.exe.
Этот исполняемый файл представляет собой загрузчик, который извлекает PNG с жестко закодированного URL-адреса и преобразует его в обфусцированный файл DLL, который представляет собой полезную нагрузку IceXLoader.
После расшифровки этого пейлоада, дроппер выполняет проверки, чтобы убедиться, что работает не внутри эмулятора, и выжидает 35 секунд, прежде чем запустить загрузчик малвари и обойти песочницы. В итоге IceXLoader встраивается в процесс STOREM~2.exe с помощью техники process hollowing.
Схема заражения
Исследователи рассказывают, что при первом запуске IceXLoader 3.3.3 копирует себя в две директории, названные по нику оператора, а затем собирает следующую информацию о хосте и передает ее на управляющий сервер:
- IP-адрес;
- UUID;
- имя пользователя и машины;
- версия ОС Windows;
- установленные продукты безопасности;
- наличие .NET Framework v2.0 и/или v4.0;
- информация об оборудовании;
- временная отметка.
В настоящее время загрузчик поддерживает следующие команды:
- остановить выполнение;
- собрать информацию о системе и передать на управляющий сервер;
- показать диалоговое окно с указанным сообщением;
- перезапустить IceXLoader;
- отправить запрос GET, загрузить файл и открыть его с помощью cmd/C;
- отправить запрос GET на загрузку исполняемого файла, чтобы запустить его в памяти;
- загрузить и выполнить сборку .NET;
- изменить интервал связи с управляющим сервером;
- обновить IceXLoader
- удалить все копии с диска и прекратить работу.
