Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.
Pembuat IceXLoader, pemuat malware yang pertama kali terlihat di alam liar musim panas ini, telah merilis versi 3.3.3, meningkatkan fungsionalitas alat dan memperkenalkan rantai pengiriman multi-tahap.
Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinetketika IceXLoader berada di versi 3.0, tetapi loader tidak memiliki fitur utama dan umumnya tampak seperti pekerjaan dalam proses.
Minerva Labs menerbitkan posting baru pada hari Selasa, memperingatkan bahwa versi terbaru dari IceXLoader menandai keberangkatan dari tahap pengembangan beta proyek.
Untuk pemuat malware yang dipromosikan secara agresif di bawah tanah kejahatan dunia maya, setiap perkembangan semacam ini signifikan dan dapat menyebabkan peningkatan mendadak dalam penyebarannya.
Rantai pengiriman saat ini
Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.
Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\
Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.
Eksekusi yang dijatuhkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.
Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.
Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.
.png)
IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai berdasarkan nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:
- alamat IP
- UUID
- Nama pengguna dan nama mesin
- Versi OS Windows
- Produk keamanan terpasang
- Kehadiran .NET Framework v2.0 dan/atau v4.0
- Informasi perangkat keras
- stempel waktu
Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”
Untuk penghindaran, ia menggunakan metode patching dalam memori di AMSI.DLL, melewati Antarmuka Pemindaian Antimalware Microsoft Windows yang digunakan oleh Windows Defender dan produk keamanan lainnya.
“Pemuat juga membuat dan menjalankan file .bat yang menonaktifkan pemindaian waktu nyata Windows Defender dan juga menambahkan pengecualian ke Windows Defender untuk mencegahnya memindai direktori tempat IceXLoader disalin.” – Lab Minerva.
.png)
Perintah yang didukung oleh loader adalah sebagai berikut:
- Hentikan eksekusi
- Kumpulkan info sistem dan eksfiltrasi ke C2
- Tampilkan kotak dialog dengan pesan tertentu
- Mulai ulang IceXLoader
- Kirim permintaan GET untuk mengunduh file dan membukanya dengan “cmd/ C”
- Kirim permintaan GET untuk mengunduh executable untuk menjalankannya dari memori
- Muat dan jalankan rakitan .NET
- Ubah interval suar server C2
- Perbarui IceXLoader
- Hapus semua salinan dari disk dan berhenti berjalan
Minerva melaporkan bahwa pelaku ancaman di balik kampanye ini tidak tertarik untuk mengamankan data yang dicuri, karena database SQLite yang menyimpan informasi yang dicuri dapat diakses di alamat C2.
Basis data yang terpapar berisi catatan terkait dengan ribuan korban, yang berisi campuran infeksi PC rumahan dan PC perusahaan.
Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.
