Malware-IceXLoader.

IceXLoader, l’ultimo ritrovato della cybercriminalità

Apparso per la prima volta a giugno 2022 e scoperto dagli specialisti di FortiGuard Labs, IceXLoader sembrava essere un Loader di scarsa rilevanza.

In realtà, il malware all’epoca era solo presente sotto forma di versione prova. Nei mesi seguenti la minaccia si è evoluta fino al punto che, l’ultima versione rilasciata, è attualmente tra le minacce informatiche più pericolose in circolazione.

A meno di un mese dalla scoperta, una nuova variante del malware (versione 3.3.3) inizia a mietere un gran numero di vittime. Migliaia di utenti, tra privati ed aziende in ogni settore e in ogni parte del mondo vengono colpiti da questo malware che viene persino pubblicizzato sui forum di hacking.

Sommario degli argomenti

Un upload esplosivo per IceXLoader

L’8 novembre 2022 appare la prima dichiarazione ufficiale che riguarda questo malware.
Si tratta di un malware Loader, ovvero un malware che non si limita ad infettare i dispositivi ma funge anche da canale di trasmissione per altre infezioni.

L’ultima versione di IceXLoader è scritta in linguaggio Nim. Si tratta di un linguaggio di programmazione relativamente nuovo e già utilizzato dagli attori del gruppo TrickBot.

Grazie alla tecnologia con la quale è stato programmato questo malware, i criminali possono scaricare da remoto altre infezioni malware.
Il vantaggio è che, se anche il proprietario dovesse accorgersi di essere sotto attacco ed eliminasse il secondo malware sarebbe possibile in ogni momento istallarne uno nuovo.

La versione aggiornata di IceXLoader, possiede nuove funzionalità rispetto a quella della scorsa estate e soprattutto, sembra essere perfettamente funzionante. Tra le caratteristiche arrivate con l’ultimo upload troviamo:

  1. una catena di infezione multistadio,
  2. tecniche avanzate per garantirne la persistenza,
  3. la capacità di eseguire dei comandi,
  4. raccogliere informazioni sul sistema ed esfiltrare i dati.

L’unica notizia positiva al riguardo è che sembra che molte soluzioni di sicurezza note sul mercato sembrano essere in grado di rilevarlo e bloccarlo prima che sia troppo tardi.

I sistemi interessati da questa infezione sono Windows.

Catena di attacco multistadio IcexLoader

Come accennato, una delle peculiarità di malware IcexLoader 3.0 risiede nella sua strategia di attacco, che non è composta da un unico passaggio ma da più fasi ben concatenate.

Il vettore più comune di infezione sarebbe una e-mail di phishing contenente un allegato malevolo in formato .ZIP.

All’interno di questo allegato si troverebbe un dropper che, se eseguito, avvierebbe l’istallazione del Loader.

In particolare il processo consisterebbe in:

Fase 1: Estrazione dell’eseguibile dannoso

L’apertura dell’allegato innesca il rilascio di un eseguibile. L’eseguibile di installazione di IcexLoader 3.0 viene denominato “STOREM~2.exe” e successivamente, si passa alla creazione di un file .tmp all’interno di una cartella temporanea nascosta entro cui si posiziona l’eseguibile.

Se esiste una risorsa REBOOT, l’estrattore è costretto a creare una nuova chiave di registro indicata come “wextract_cleanup0” , nella sottocartella di Windows opportuna. Questo ulteriore passaggio assicurerà che il file d’installazione verrà eliminato dopo il successivo riavvio della macchina.

Fase 2: Download

Successivamente l’attacco procede con l’esecuzione del file “STOREM~2.exe”.
Questo eseguibile altro non è che un dowloader scritto in .NET il cui scopo è scaricare un immagine in .png da un URL hardcoded.

Questo file viene poi convertito in un vettore di byte nominato “Fcyozgdveenwuzwbrsmfqu.dll”.
E’ proprio questo file .dll, altamente offuscato, che si occupa di:

  • Decifrare IceXLoader
  • Verificare che il file non venga eseguito all’interno di Windows Defender, una tecnica di evasione piuttosto comune tra i malware.
  • Eseguire la PowerShell con uno specifico comando criptato in modo da ritardare la esecuzione di 35 secondi, tecnica utile per raggirare le protezioni delle Sandbox che potrebbero altrimenti rilevare l’esecuzione dei comandi.
  • Iniettare IcsXLoader all’interno del processo “STOREM~2.exe” sfruttando una tecnica detta Process Hollowing, in cui si sospende l’esecuzione di un file per svuotare la sua memoria e sostituire al suo interno del codice dannoso che non c’era in precedenza.

Fase 3: Raccolta dati

IceXLoader malware è installato a bordo del device.
Da questo momento in poi, la minaccia può intercettare informazioni e trasmetterle ad un server remoto chiaramente controllato dall’attaccante.

Tra i metadati di sistema che naturalmente vengono esfiltrati in un dominio remoto rileviamo:

  • Indirizzo IP

  • UUID (Universal Unique Identifier)

  • Nome Utente e nome della macchina

  • Versione del sistema operativo Windows utilizzata

  • Sistemi di sicurezza istallati

  • Informazioni su RAM

  • Informazioni sulla CPU e sulla GPU

  • Time stamp

  • Versione del Loader ( in questo caso V.3.3.3)

  • Presenza di Framwork .NET v2.0 e/ o v4.0

L’attaccante può addirittura inviare comandi al dispositivo infetto, tra cui anche riavviare e disinstallare il caricatore di malware e interromperne l’esecuzione: ma ciò che più si teme è che il malware voglia effettivamente (e ne ha tutte le capacità per farlo) espandere l’attacco sul disco.

Strategie per impedire la rimozione

Al fine di prolungare il più possibile la sua permanenza indisturbata questo IceXLoader ha messo in atto diverse strategie.
Ad oggi infatti, il database controllato dalla cybergang di IceXLoader viene continuamente aggiornato con le informazioni esfiltrate dalle vittime.

Al fine di evitare che le vittime dell’attacco possano difendersi e rimuovere l’infezione, la cybergang predispone per la copia del malware in due differenti cartelle. Inoltre, viene creata una nuova chiave di registro di tipo “Run” che viene chiama “Opus” che riesegua il malware ad ogni nuovo riavvio del sistema.

Tecniche di Malware IceXLoader per raggirare gli antivirus

Come se non bastasse questo malware si adopera anche per inabilitare gli antivirus presenti nei dispositivi.

Disattiva la scansione in tempo reale di Microsoft Defender Antivirus ( e di altri antivirus comuni) attraverso un file .bat appositamente creato ed eseguito e aggiunge alla lista delle directory da non scannerizzare alla ricerca di malware, i nomi di quelle contenenti IceXLoader.

Infine si auto-esegue ritardandosi di qualche secondo in modo da essere iniettato nel processo “STOREM~2.exe”. In questo modo nelle successive esecuzioni sia possibile ignorare l’Antimalware Scan Interface (AMSI) sovrascrivendo l’API che esegue la scansione dell’input dell’utente.

In questo modo diventa molto difficile per la vittima rendersi conto dell’attacco in corso e fare qualcosa per contrastarlo.

Consigli per la mitigazione del rischio

Come sempre in questo campo è impossibile annullare del tutto le probabilità di cadere vittime di questo tipo di attacchi informatici. Questo però non vuole dire che non esistano delle azioni efficaci di prevenzione.

In questo caso, visto che  il vettore di infezione più comune sono le e-mail con allegati infettiè sicuramente importante controllare scrupolosamente la posta in ingresso. Un software antiphishing potrebbe aiutare, ma le periodiche campagne di sensibilizzazione dei dipendenti corredate da simulazioni, per mettere in pratica ciò che si è imparato e rimanere sempre allerta.

Ancora, è opportuno ricordare che è fortemente raccomandato verificare gli URL prima di fare clic sui collegamenti. Inoltre, è possibile attivare tutte le funzioni che analizzano gli allegati alla ricerca di anomalie prima del download.

Conclusioni

Ci troviamo alle prese con un malware capace di fare breccia nei dispositivi e disabilitarne le difese prima di infettarlo ulteriormente con altri tipi di malware. IceXLoader prende di mira esclusivamente i dispositivi con sistema operativo Windows.

Ottenere una licenza a vita per diffonderlo è semplicissimo se si è abituali frequentatori del dark web, bastano soli 118$ per iniziare una carriera come affiliati di IceXLoader.

Il livello di allerta per la minaccia rimane al momento elevato e, in attesa che, gli esperti riescano a fornire nuove soluzioni per arginare questa nuova minaccia, ai non addetti ai lavori rimane solo una opzione percorribile: la prevenzione.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.