正在进行的网络钓鱼活动已经感染了新版本的“IceXLoader”恶意软件,从而感染了数千名家庭和企业用户。
IceXLoader 是今年夏天首次在野外发现的恶意软件加载程序,其作者发布了 3.3.3 版本,增强了该工具的功能并引入了多阶段交付链。
Fortinet于 2022 年 6 月发现了基于 Nim 的恶意软件,当时 IceXLoader 的版本为 3.0,但加载程序缺少关键功能,并且通常看起来像是在进行中。
Minerva Labs 周二发布了一篇新帖子,警告说最新版本的 IceXLoader 标志着该项目的 beta 开发阶段的背离。
对于在地下网络犯罪中如此积极推广的恶意软件加载程序,任何此类开发都意义重大,并可能导致其部署突然增加。
当前的交付链
感染始于通过包含第一阶段提取器的网络钓鱼电子邮件到达 ZIP 文件。
提取器在“C:\Users\<username>\AppData\Local\Temp”下创建一个新的隐藏文件夹 (.tmp),并删除下一阶段的可执行文件“STOREM~2.exe”。
然后,根据操作员选择的提取设置,可能会重新启动受感染的系统,并在计算机重新启动时添加一个新的注册表项以删除临时文件夹。
删除的可执行文件是一个下载器,它从硬编码的 URL 中获取 PNG 文件,并将其转换为经过混淆的 DLL 文件,即 IceXLoader 有效负载。
解密有效载荷后,投放器会执行检查以确保它没有在模拟器中运行,并在执行恶意软件加载程序以逃避沙箱之前等待 35 秒。
最后,IceXLoader 使用进程空心注入到 STREM~2.exe 进程中。
新的 IceXLoader
首次启动时,IceXLoader 3.3.3 版将自身复制到以操作员昵称命名的两个目录中,然后收集有关主机的以下信息并将其泄露到 C2:
- IP地址
- UUID
- 用户名和机器名
- 视窗操作系统版本
- 安装的安全产品
- .NET Framework v2.0 和/或 v4.0 的存在
- 硬件信息
- 时间戳
为了确保重新启动之间的持久性,恶意软件加载程序还在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”处创建一个新的注册表项。
对于规避,它使用 AMSI.DLL 中的内存修补方法,绕过 Windows Defender 和其他安全产品使用的 Microsoft Windows 反恶意软件扫描接口。
“加载程序还会创建并执行一个 .bat 文件,该文件会禁用 Windows Defender 的实时扫描,还会向 Windows Defender 添加排除项,以防止它扫描 IceXLoader 复制到的目录。” –密涅瓦实验室。
loader支持的命令如下:
- 停止执行
- 收集系统信息并潜入 C2
- 显示带有指定消息的对话框
- 重启 IceXLoader
- 发送 GET 请求以下载文件并使用“cmd/C”打开它
- 发送 GET 请求以下载可执行文件以从内存中运行它
- 加载并执行 .NET 程序集
- 更改 C2 服务器信标间隔
- 更新 IceXLoader
- 从磁盘中删除所有副本并停止运行
Minerva 报告说,该活动背后的威胁参与者对保护被盗数据不感兴趣,因为保存被盗信息的 SQLite 数据库可以在 C2 地址中访问。
暴露的数据库包含与数千名受害者相对应的记录,其中包含家庭 PC 和公司 PC 感染的混合。
安全研究人员已向受影响的公司通报了此次事件,但数据库每天都会更新新条目。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 网络钓鱼将IceXLoader恶意软件投放到数以千计的家庭、企业设备上
