Los investigadores de seguridad cibernética de Minerva Labs han detectado una variedad potencialmente peligrosa de malware (opens in a new tab) escrito en un lenguaje de programación relativamente nuevo llamado Nim.
El equipo advirtió que un número creciente de actores maliciosos están transfiriendo su malware a Nim para ocultar mejor sus herramientas de las soluciones antivirus y los equipos de ciberseguridad.
En este caso, los investigadores de Minerva descubrieron IceXLoader por primera vez en junio de 2022, cuando se consideraba que estaba en desarrollo, ya que aún faltaban muchas de sus funciones principales. Ahora, sin embargo, el malware ha llegado a la versión 3.3.3, viene con una serie de características peligrosas y ya ha infectado "miles" de dispositivos Windows, en el hogar y en la oficina.
крипто-майнеры
Cuando las víctimas descargan y ejecutan IceXLoader (que generalmente ocurre después de un ataque de phishing exitoso), hará una serie de cosas, desde recopilar metadatos sobre el punto final de destino (se abre en una nueva pestaña) (dirección IP, nombre del dispositivo, versión del sistema operativo, hardware información, etc.), hasta la instalación de un minero de criptomonedas para la moneda Monero.
Monero es una opción popular entre los ciberdelincuentes, ya que se describe como una "moneda privada" que hace que el seguimiento de los tokens enviados sea prácticamente imposible.
En términos generales, IceXLoader es un malware de primera etapa en un ataque de varias etapas. Soltará malware adicional en el dispositivo de destino, según lo que los actores de amenazas consideren más útil para cada dispositivo individual.
El malware también es relativamente bueno para permanecer oculto. Ofusca el código, no se ejecuta en el emulador de Microsoft Defender y ejecuta PowerShell con una solicitud cifrada, lo que retrasa la ejecución del malware en 35 segundos. De esta manera también puede evitar los sandboxes.
Los investigadores encontraron el archivo de base de datos SQLite del malware y descubrieron "miles de registros de víctimas". Han comenzado a notificar a estas personas, se agregó.
Si bien la versión original de IceXLoader costaba € 118 en la web oscura, según The Register, el costo de la nueva versión aún está por verse.
Через: Реестр (откроется в новой вкладке)