IceXLoader-Malware zielt auf Privatanwender und Unternehmen

IceXLoader, eine aktualisierte Version eines Malware-Loaders, steht im Verdacht, Tausende von Windows-Rechnern von Privatanwendern und Unternehmen in aller Welt zu infizieren.

IceXLoader ist eine kommerziell erhältliche Malware, die in Untergrundforen 118 Dollar für eine Lizenz auf Lebenszeit kostet. Sie wird hauptsächlich zum Herunterladen und Ausführen zusätzlicher Malware auf kompromittierten Computern verwendet. Der Malware-Stamm wurde in Nim geschrieben, einer relativ neuen Programmiersprache.

Er wurde über E-Mails verbreitet, die ZIP-Dateien enthielten, die die Malware auf dem infizierten Computer installierten. Infizierte Personen luden eine ZIP-Datei herunter, die eine ausführbare.exe-Datei enthielt, die automatisch ein Bild herunterlädt, das die Infektion mit ICeXLoader ermöglicht.

Das Extraktionsprogramm erstellt einen neuen versteckten Ordner (.tmp) unter "C \Users\\AppData\Local\Temp" und legt die ausführbare Datei der nächsten Stufe, 'STOREM~2.exe', ab.

Das infizierte System wird dann neu gestartet, und ein neuer Registrierungsschlüssel wird hinzugefügt, um den temporären Ordner beim Neustart des Computers zu löschen, je nach den vom Benutzer gewählten Extraktionseinstellungen.

Bei der abgelegten ausführbaren Datei handelt es sich um einen Downloader, der eine PNG-Datei von einer fest codierten URL abruft und sie in die IceXLoader-Nutzlast, eine verschleierte DLL-Datei, umwandelt.

Um Sandboxen zu vermeiden, prüft der Dropper, ob er nicht in einem Emulator läuft, und wartet 35 Sekunden, bevor er den Malware-Loader ausführt.

Schließlich wird IceXLoader über Process Hollowing in den STOREM2.exe-Prozess eingeschleust.

Darüber hinaus generiert die Malware eine .bat-Datei, die Windows Defender in Echtzeit deaktiviert und Ausnahmen hinzufügt, um eine Erkennung zu verhindern.

Die Befehle umfassen die Möglichkeit, den Malware-Loader neu zu starten, zu deinstallieren und seine Ausführung anzuhalten. Seine Hauptfunktion ist jedoch das Herunterladen und Ausführen der nächsten Malware-Stufe auf der Festplatte oder im Speicher.

Es ist wichtig, dass Organisationen IceXLoader gegenüber vorsichtig sind und Sicherheitsmaßnahmen ergreifen, um ihre Organisationen vor Angriffen zu schützen. Zu den verschiedenen Maßnahmen gehört auch, dass sie ihre Systeme auf dem neuesten Stand halten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung

Artikel Name

IceXLoader-Malware zielt auf Privatanwender und Unternehmen

Beschreibung

IceXLoader, eine aktualisierte Version eines Malware-Loaders, steht im Verdacht, Tausende von Windows-Rechnern im Privat- und Unternehmensbereich zu infizieren.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers