Minerva Labs ekspertlarining fikriga ko'ra, IceXLoader yuklab oluvchisini tarqatuvchi fishing kampaniyasi allaqachon minglab uy va korporativ foydalanuvchilarga ta'sir qilgan . IceXLoader 3.3.3 versiyasiga yangilandi, u funksionallikni kengaytirdi va ko‘p bosqichli yetkazib berish zanjirini taqdim etdi.
Eslatib o‘tamiz, Nim-ga asoslangan ushbu zararli dastur Fortinet tomonidan 2022-yil iyun oyida topilgan . O'sha paytda IceXLoader 3.0 versiyasi tarmoq bo'ylab tarqatilgan edi, lekin yuklagichda asosiy xususiyatlar yo'q edi va umuman u tugallanmagan ko'rinadi. Endi Minerva Labs ogohlantiradiki, zararli dasturning so'nggi versiyasi beta sinov bosqichining yakunini aniq ko'rsatmoqda.
IceXLoader hujumlari endi birinchi bosqich ekstraktorini o'z ichiga olgan ZIP fayli bilan birga kelgan fishing elektron pochta xabarlari bilan boshlanadi. Bu ekstraktor C:\Users\<foydalanuvchi nomi>\AppData\Local\Temp da jabrlanuvchining mashinasida yangi yashirin papkani (.tmp) yaratadi va hujumning keyingi bosqichi, STOREM~2.exe uchun bajariladigan faylni yuklab oladi.
Ushbu bajariladigan fayl qattiq kodlangan URL-dan PNG-ni ajratib oladigan va uni IceXLoader foydali yuki bo'lgan tushunarsiz DLL fayliga aylantiradigan yuklovchidir.
Ushbu foydali yukning shifrini hal qilgandan so'ng, tomizgich emulyator ichida ishlamayotganiga ishonch hosil qilish uchun tekshiruvlarni amalga oshiradi va zararli dasturni yuklovchini ishga tushirishdan va qum qutilarini chetlab o'tishdan oldin 35 soniya kutadi. Natijada, IceXLoader STOREM~2.exe jarayoniga jarayonni bo'shatish texnikasidan foydalangan holda kiritilgan.
Tadqiqotchilarning taʼkidlashicha, IceXLoader 3.3.3 birinchi marta ishga tushirilganda, u oʻzini operator taxallusi bilan atalgan ikkita katalogga koʻchiradi va keyin xost haqida quyidagi maʼlumotlarni toʻplaydi va boshqaruv serveriga uzatadi:
IP manzili;
UUID;
foydalanuvchi nomi va mashina nomi;
Windows operatsion tizimining versiyasi;
o'rnatilgan xavfsizlik mahsulotlari;
.NET Framework v2.0 va/yoki v4.0 mavjudligi;
uskunalar haqida ma'lumot;
vaqt tamg'asi.
Tizimda mavqega ega bo'lish va qayta yuklashlar orasida mavjudligini saqlab qolish uchun zararli dastur HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run-da yangi ro'yxatga olish kitobi kalitini yaratadi.
“Yuklagich, shuningdek, Windows Defender real vaqt rejimida skanerlashni o‘chirib qo‘yuvchi .bat faylini yaratadi va bajaradi, shuningdek, IceXLoader ko‘chiriladigan katalogni skanerlashning oldini olish uchun Windows Defender istisnolariga qo‘shiladi”, — deb yozadi ekspertlar.
Bootloader hozirda quyidagi buyruqlarni qo'llab-quvvatlaydi:
ijroni to'xtatish;
tizim haqida ma'lumot to'plash va uni boshqaruv serveriga o'tkazish;
belgilangan xabar bilan dialog oynasini ko'rsatish;
IceXLoaderni qayta ishga tushiring;
GET so'rovini yuboring, faylni yuklab oling va cmd/C bilan oching;
bajariladigan faylni xotirada ishga tushirish uchun uni yuklab olish uchun GET so'rovini yuborish;
.NET assambleyasini yuklash va bajarish;
boshqaruv serveri bilan aloqa oralig'ini o'zgartirish;
IceXLoader-ni yangilang
diskdagi barcha nusxalarni o'chirib tashlang va ishlashni to'xtating.
Tahlilchilarning ta'kidlashicha, ushbu kampaniya ortida turgan tajovuzkorlar o'g'irlangan ma'lumotlarni himoya qilishdan manfaatdor emas, chunki o'g'irlangan ma'lumotlarni o'z ichiga olgan SQLite ma'lumotlar bazasi ularning C&C server manzilida bepul mavjud. Ochiq ma'lumotlar bazasida minglab qurbonlar, shu jumladan uy kompyuterlari va korporativ mashinalar haqida ma'lumotlar mavjud. Saytdan nashr: https://xakep.ru/