Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.
Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’
rantai pengiriman saat ini
Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.
Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\
Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.
executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.
Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.
Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.
IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:
- IP address
- UUID
- Username and machine name
- Windows OS version
- Installed security products
- Presence of .NET Framework v2.0 and/or v4.0
- Hardware information
- Timestamp
Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”
Perintah yang didukung oleh loader adalah sebagai berikut:
- stop execution
- collect system info and exfiltrate to C2
- display dialog box with specified message
- restart icexloader
- Send GET request to download a file and open it with “cmd/ C”
- Send GET request to download an executable to run it from memory
- Load and execute a .NET assembly
- Change C2 server beaconing interval
- Update IceXLoader
- Remove all copies from the disk and stop running
Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.
sumber : bleeping computer