I ricercatori di sicurezza di Minerva Labs avrebbero rilevato una variante (versione 3.3.3) del malware noto come IceXLoader con nuove funzionalità e una nuova catena d’infezione multistadio.
Osservato per la prima volta a giugno 2022, il malware scritto in linguaggio Nim oltre a garantirsi una persistenza, sarebbe in grado di eseguire comandi, raccogliere informazioni sul sistema colpito ed esfiltrare dati.
Indice degli argomenti
La catena d’attacco multistadio
Secondo la ricostruzione, la catena d’attacco avrebbe inizio con un dropper, contenuto in un allegato .ZIP di una tipica e-mail di phishing che, qualora eseguito, avvierebbe il processo d’infezione.
Nella prima fase dell’attacco, l’apertura dell’archivio ZIP autoestraente, comporterebbe il rilascio dell’eseguibile “STOREM~2.exe” (un downloader di seconda fase scritto in .NET) all’interno della cartella “C:\Users\<username>\AppData\Local\Temp”.
La fase successiva prevederebbe l’esecuzione del downloader (STOREM~2.EXE), per il recupero da una URL hardcoded di un file PNG poi convertito in un file DLL (fortemente offuscato) deputato a:
- Decifrare IceXLoader;
- garantire con una usuale tecnica di evasione che il file non venga eseguito all’interno dell’emulatore di Microsoft Defender verificando che il nome host non sia uguale a “hal9th” e il nome utente non sia uguale a “johndoe”;
- ritardare l’esecuzione di 35 secondi (eseguendo PowerShell con un comando crittografato) sfruttando una tecnica solitamente utilizzata dagli attori delle minacce per eludere le sandbox tramite un timeout di esecuzione;
- avviare l’ultima fase iniettando il codice IceXLoader all’interno del processo “STOREM~2.EXE” impiegando una tecnica di tipo “Process Hollowing”.
Una volta eseguito, IceXLoader raccoglie dalla macchina infetta le seguenti informazioni inviandole al server di presidio C2 per ulteriori attività malevole:
- indirizzo IP;
- UUID;
- nome utente e nome macchina;
- versione del sistema operativo Windows;
- prodotti di sicurezza installati;
- presenza del framework .NET v2.0 e/o v4.0;
- versione del loader;
- informazioni su RAM, CPU, GPU e time stamp.
IceXLoader, le modalità adottate per la persistenza
Durante la sua prima esecuzione, per garantire una certa persistenza IceXLoader si copierebbe in due directory (“C:\Utenti\nomeutente\AppData\Roaming\Opus.exe” e “C:\Utenti\ nome utente \AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Avvio\Opus.exe) creando una nuova chiave di registro di tipo “Run” denominata “Opus” e impostata su “C:\Users\<username>\AppData\Roaming\Opus.exe”, per seguire il binario ad ogni accesso dell’utente.
La persistenza sarebbe garantita anche cancellando, al successivo riavvio, la cartella temporanea creata dall’extractor di IceXLoader, mediante la creazione di una nuova chiave di registro di tipo “RunOnce” denominata “wextract_cleanup0” ed impostata allo scopo (“rundll32.exe C:\Windows\system32\advpack.dll, DelNodeRunDLL32″ C:\Users\username\ AppData\Local\Temp\IXP000.TMP\””).
IceXLoader: elusione delle scansioni antivirus
Per aggirare l’interfaccia di scansione anti malware AMSI (l’Antimalware Scan Interface è un insieme di API di Windows che consente a qualsiasi applicazione di integrarsi con un prodotto antivirus) impiegata da Microsoft Defender, IceXLoader ne ignorerebbe la relativa protezione sovrascrivendo l’API AmsiScanBuffer (manipolandola) deputata a eseguire la scansione degli input dell’utente in memoria.
Inoltre, per disabilitare la scansione antivirus in tempo reale di Microsoft Defender, il loader stesso eseguirebbe un file .BAT configurato anche per escludere dalla scansione la directory in cui si trova IceXLoader.
Tutto ciò ridurrebbe così la possibilità che IceXLoader ed eventuali altri payload successivi vengano rilevati.
I consigli di mitigazione dell’ACN
Nel consigliare la valutazione dell’implementazione dei seguenti indicatori di compromissione (IoC):
- url hxxps://www[.]filifilm[.]com[.]br/images/colors/purple/Ejvffhop[.]png
- hash 0911819d0e050ddc5884ea40b4b39a716a7ef8de0179d0dfded9f043546cede9
- hash 96bdd68cfa84ba3d7390b4e172837370
- hash f3f5908c8138881e04db463a78172ca510073788
- hash 9a9981d9bd10d3e004457ca4509aeb2bd828f54213f61b8a547c90e52f0b08eb
- hash beeb545d883bd4842a6ff3994db77ed9
- hash 9e0cf075f8334b9917013764ae6460abafdac3a6
- hash 7bb69f98d77ca7609c10b9a0ab1ce32be2e26b160413203d5335f65c1bc8ee72
- hash 0ba3f7a23e80b0421bc417a03d879f39
- hash 5b4e28240a57e7c6a8ce15888df1c495910fe4f4
- hash 49d6552ae5c5027ce1e68edee2438564b50ddc384276fd97360c92503771d3ac
- hash cb90f4dd9eb3424268b20a1581668acd
- hash 136a226e0f56c7bf53822ab116ea4304b8a636e6
l’Agenzia per la Cybersicurezza Nazionale raccomanda agli utenti e alle organizzazioni, per contrastare questa tipologia di attacchi, di verificare scrupolosamente le e-mail ricevute, attivando anche periodiche sessioni di formazione finalizzate a riconoscere il phishing e a insegnare a diffidare delle comunicazioni inattese, prestando sempre la massima attenzione alle URL che si intende visitare.
