IceXLoader, la truffa del secolo: le vittime sono moltissime
Un malware che viene istallato sul computer del malcapitato direttamente e che può portare una serie di problemi al tuo computer Windows.
Scoperto dai ricercatori di Minerva Labs un nuovo load estremamente pericoloso: IceXLoader.
Questo ha dichiarato Natalie Zargarov, ricercatore di cybersicurezza presso Minerva Labs: “Mentre la versione scoperta a giugno (v3.0) sembrava un work-in-progress, abbiamo recentemente osservato un caricatore più recente v3.3.3 che sembra essere completamente funzionante e include una catena di distribuzione a più stadi”.
Questo malware attacca degli host già violati. È facile da ottenere, può infatti essere comprato facilmente nel dark web a soli 118€ per avere una licenza a vita e permette di infettare dispositivi Windows.
Come avviene l’attacco e l’installazione del malware?
Minerva Labs ha rilevato che l’attacco avviene inserendo un file ZIP all’interno del computer malcapitato e a questo punto viene scaricata un’immagina PNG (“Ejvffhop.png”) da un URL codificato.
Questo file immagine viene scaricato da un dropper e convertito in un altro dropper e da qui viene convertito in un array di byte, ovvero un insieme di variabili caratterizzate da un nome unico. A questo punto viene iniettato nel sistema l’IceXLoader tramite una tecnica chiamata process hollowing, dove il codice di quella cartella viene svuotato e viene inserito il codice appunto del malware.
La versione istallata è la 3.3.3. IceXLoader che permette al malfattore di controllare i dati di sistema che attendono ordini impartiti dal server. I comandi che possono essere sviluppati sono quelli di installare o disinstallare il malware, ma sopratutto di poter espandere questo su disco.
Il Malware è anche molto persistente, avendo una chiave nel registro per eliminare la directory temporanea.
Questo malware può creare grossi problemi al tuo computer e rubare dati come Indirizzo IP, nome del computer, versione di Windows, prodotti di sicurezza installati, quantità di RAM, tipo di CPU e GPU.
Il Malware disattiva anche Microsoft Defender Antivirus e da l’opportunità di aggiungersi nella lista esclusioni della directory in cui è stato copiato. Inoltre questo virus invia dati al server C&C (command and control), dal quale può scaricare altri malware.
Come difendersi da File Malware Fileless
Per difendersi dall’attacco di questi malware non c’è sempre una linea guida specifica: in generale il consiglio più indicato è quello di mantenere i propri sistemi sempre aggiornati, specialmente con l’installazione di patch di sicurezza.
Questi sono in grado di eliminare eliminare o limitare il software vulnerabile, dunque meno software ci sarà, meno rischio incorreremo.