Support technique
Documentation
Connexion
Nous contacter
Le logiciel malveillant IceXLoader cible les particuliers et les entreprises
Obanla Opeyemi
23 novembre 2022 - L'équipe d'experts de TuxCare
IceXLoader, une version actualisée d'un chargeur de logiciels malveillants, est soupçonné d'avoir infecté des milliers de machines Windows personnelles et d'entreprise dans le monde.
IceXLoader est un logiciel malveillant disponible dans le commerce qui coûte 118 dollars pour une licence à vie sur les forums clandestins. Il est principalement utilisé pour télécharger et exécuter des logiciels malveillants supplémentaires sur des ordinateurs compromis. La souche du malware a été écrite en Nim, un langage de programmation relativement récent.
Il a été distribué via des e-mails contenant des fichiers ZIP qui installent le malware sur l'ordinateur infecté. Les personnes infectées ont téléchargé un fichier ZIP contenant un exécutable .exe qui télécharge automatiquement une image permettant l'infection par ICeXLoader.
L'extracteur crée un nouveau dossier caché (.tmp) sous "C `Users\\AppData\Local\Temp" et dépose l'exécutable de l'étape suivante, 'STOREM~2.exe'.
Le système infecté est ensuite redémarré, et une nouvelle clé de registre est ajoutée pour supprimer le dossier temporaire au redémarrage de l'ordinateur, en fonction des paramètres d'extraction choisis par l'opérateur.
L'exécutable déposé est un téléchargeur qui récupère un fichier PNG à partir d'une URL codée en dur et le convertit en charge utile IceXLoader, un fichier DLL obscurci.
Pour éviter les sandboxes, le dropper vérifie qu'il ne s'exécute pas dans un émulateur et attend 35 secondes avant d'exécuter le chargeur de logiciels malveillants.
Enfin, IceXLoader est injecté dans le processus STOREM2.exe par le biais de l'évidement de processus.
En outre, le malware génère un fichier .bat qui désactive Windows Defender en temps réel et ajoute des exclusions pour éviter la détection.
Les commandes permettent notamment de redémarrer, de désinstaller et d'arrêter l'exécution du chargeur de logiciels malveillants. Toutefois, sa fonction première est de télécharger et d'exécuter les logiciels malveillants de niveau supérieur sur le disque ou en mémoire.
Il est important que les organisations se méfient d'IceXLoader et prennent des mesures de sécurité pour éviter que leurs activités ne soient compromises. L'une des nombreuses mesures à prendre consiste à maintenir leurs systèmes à jour.
Les sources de cet article comprennent un article de BleepingComputer.
