phishing

Una campaña de phishing en curso ha infectado a miles de usuarios domésticos y corporativos con una nueva versión del malware ‘IceXLoader’.

Los autores de IceXLoader, un cargador de malware descubierto por primera vez este verano, lanzaron la versión 3.3.3, mejorando la funcionalidad de la herramienta e introduciendo una cadena de entrega de varias etapas.

El descubrimiento del malware basado en Nim se produjo en junio de 2022 por parte de Fortinet , cuando IceXLoader estaba en la versión 3.0, pero al cargador le faltaban funciones clave y, en general, parecía un trabajo en progreso.

Minerva Labs publicó una nueva publicación el martes, advirtiendo que la última versión de IceXLoader marca una salida de la etapa de desarrollo beta del proyecto.

Para un cargador de malware que se promociona de manera tan agresiva en el cibercrimen clandestino, cualquier desarrollo de este tipo es significativo y podría conducir a un repunte repentino en su despliegue.

Cadena de entrega actual

La infección comienza con la llegada de un archivo ZIP a través de un correo electrónico de phishing que contiene el extractor de primera etapa.

El extractor crea una nueva carpeta oculta (.tmp) en “C:\Users\<username>\AppData\Local\Temp” y suelta el ejecutable de la siguiente etapa, ‘STOREM~2.exe.’

Luego, dependiendo de la configuración de extracción seleccionada por el operador, el sistema infectado puede reiniciarse y se agregará una nueva clave de registro para eliminar la carpeta temporal cuando la computadora se reinicie.

El ejecutable eliminado es un descargador que obtiene un archivo PNG de una URL codificada y lo convierte en un archivo DLL ofuscado que es la carga útil de IceXLoader.

Después de descifrar la carga útil, el cuentagotas realiza comprobaciones para asegurarse de que no se esté ejecutando dentro de un emulador y espera 35 segundos antes de ejecutar el cargador de malware para evadir las zonas de pruebas.

Finalmente, IceXLoader se inyecta en el proceso STOREM~2.exe mediante el vaciado de procesos.

La cadena de infección completa
La cadena de infección completa de IceXLoader (Minerva Labs)

Nuevo IceXLoader

Tras el primer lanzamiento, IceXLoader versión 3.3.3 se copia a sí mismo en dos directorios con el nombre del apodo del operador y luego recopila la siguiente información sobre el host y la extrae al C2:

  • dirección IP
  • UUID
  • Nombre de usuario y nombre de la máquina
  • Versión del sistema operativo Windows
  • productos de seguridad instalados
  • Presencia de .NET Framework v2.0 y/o v4.0
  • información de hardware
  • marca de tiempo

Para garantizar la persistencia entre reinicios, el cargador de malware también crea una nueva clave de registro en «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run».

Para la evasión, utiliza un método de aplicación de parches en memoria en AMSI.DLL, sin pasar por la interfaz de análisis antimalware de Microsoft Windows utilizada por Windows Defender y otros productos de seguridad.

«El cargador también crea y ejecuta un archivo .bat que desactiva el análisis en tiempo real de Windows Defender y también agrega exclusiones a Windows Defender para evitar que escanee el directorio en el que se copió IceXLoader». – Laboratorios Minerva .

Comandos de PowerShell para deshabilitar AV y agregar exenciones
Comandos de PowerShell para deshabilitar AV y agregar exenciones (Minerva Labs)

Los comandos soportados por el cargador son los siguientes:

  • Detener la ejecución
  • Recopile información del sistema y filtre a C2
  • Mostrar cuadro de diálogo con el mensaje especificado
  • Reiniciar IceXLoader
  • Envíe una solicitud GET para descargar un archivo y ábralo con «cmd/ C»
  • Envíe una solicitud GET para descargar un ejecutable para ejecutarlo desde la memoria
  • Cargue y ejecute un ensamblado .NET
  • Cambiar el intervalo de señalización del servidor C2
  • Actualizar IceXLoader
  • Elimina todas las copias del disco y deja de ejecutar

Minerva informa que los actores de amenazas detrás de esta campaña no están interesados ​​en proteger los datos robados, ya que se puede acceder a la base de datos SQLite que contiene la información robada en la dirección C2.

La base de datos expuesta contiene registros correspondientes a miles de víctimas, que contienen una combinación de infecciones de PC domésticas y corporativas.

Los investigadores de seguridad han informado a las empresas afectadas sobre la exposición, pero la base de datos se actualiza diariamente con nuevas entradas.

Fuente y redacción: bleepingcomputer.com

Compartir