기술 지원
문서
로그인
문의하기
가정 및 기업 사용자를 노리는 IceXLoader 멀웨어
2022년 11월 23일 TuxCare 홍보팀
맬웨어 로더의 업데이트 버전인 IceXLoader는 전 세계 수천 대의 개인 및 기업용 Windows 컴퓨터를 감염시킨 것으로 의심됩니다.
IceXLoader는 언더그라운드 포럼에서 평생 라이선스 비용이 118달러인 상업적으로 이용 가능한 멀웨어입니다. 주로 손상된 컴퓨터에서 추가 멀웨어를 다운로드하고 실행하는 데 사용됩니다. 이 멀웨어 변종은 비교적 새로운 프로그래밍 언어인 Nim으로 작성되었습니다.
이 악성코드는 감염된 컴퓨터에 악성코드를 설치하는 ZIP 파일이 포함된 이메일을 통해 배포되었습니다. 감염된 사람들은 ICeXLoader에 감염될 수 있는 이미지를 자동으로 다운로드하는 실행 파일.exe가 포함된 ZIP 파일을 다운로드했습니다.
추출기는 "C \Users\\AppData\Local\Temp" 아래에 새 숨김 폴더(.tmp)를 생성하고 다음 단계 실행 파일인 'STOREM~2.exe'를 드롭합니다.
그런 다음 감염된 시스템을 다시 시작하고 운영자가 선택한 추출 설정에 따라 컴퓨터가 재부팅될 때 임시 폴더를 삭제하는 새 레지스트리 키가 추가됩니다.
드롭된 실행 파일은 하드코딩된 URL에서 PNG 파일을 검색하여 난독화된 DLL 파일인 IceXLoader 페이로드로 변환하는 다운로더입니다.
샌드박스를 피하기 위해 드로퍼는 에뮬레이터에서 실행되고 있지 않은지 확인하고 멀웨어 로더를 실행하기 전에 35초를 기다립니다.
마지막으로, 프로세스 중공 처리를 통해 IceXLoader가 STOREM2.exe 프로세스에 주입됩니다.
또한 이 멀웨어는 실시간으로 Windows Defender를 비활성화하고 탐지를 피하기 위해 제외를 추가하는 .bat 파일을 생성합니다.
이 명령에는 멀웨어 로더의 재시작, 제거 및 실행 중지 기능이 포함되어 있습니다. 그러나 주요 기능은 디스크나 메모리에 다음 단계의 멀웨어를 다운로드하여 실행하는 것입니다.
조직은 아이스엑스로더를 주의하고 보안 조치를 취하여 조직이 손상되지 않도록 보호하는 것이 중요합니다. 여러 단계 중 하나는 시스템을 최신 상태로 유지하는 것입니다.
이 글의 출처는 BleepingComputer의 기사입니다.
