可用

IceXLoader 恶意软件破坏了全球数千名受害者的计算机

  • 浏览次数 19020
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

微信截图_20221110095614

名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。

IceXLoader是一种商品恶意软件,在地下论坛上以118美元的价格出售,终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。

今年6月,Fortinet FortiGuard实验室表示,他们发现了一个用Nim编程语言编写的特洛伊木马版本,目的是逃避分析和检测。

Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示:“虽然6月份发现的版本(v3.0)看起来像是一个正在进行中的工作,但我们最近发现了一个新的v3.3.3加载器,它看起来功能齐全,并且包括一个多级交付链。”

IceXLoader传统上是通过网络钓鱼活动分发的,包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。

微信截图_20221110095712

在Minerva实验室详细描述的攻击序列中,发现ZIP文件包含一个dropper,该dropper会丢弃一个基于.NET的下载程序,从硬编码的URL下载PNG图像(“Ejvffhop.png”)。

这个图像文件(另一个dropper)随后被转换为字节数组,允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。

IceXLoader的3.3.3版本与其前身一样,是用Nim编写的,它可以收集系统元数据,所有元数据都会被泄露到远程攻击者控制的域中,同时等待服务器发出进一步的命令。

这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。

Minerva实验室表示,命令和控制(C2)服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息,并补充说,该文件正在通知受影响的公司。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文