IceXLoader Momok Phising Debutan
Kabar buruk! Versi baru malware IceXLoader sedang aktif melakukan operasi phising yang telah menginfeksi ribuan pengguna rumahan dan perusahaan.
Malware berbasis nim ini muncul pada Juni 2022. Saat itu, IceXLoader masih dalam versi 3.0. Namun saat itu, loader-nya telah kehilangan fitur-fitur utama dan umumnya, menunjukkan malware ini masih dalam proses pengembangan.
Berdasarkan Informasi terbaru, loader malware ini kini diketahui telah merilis versi 3.3.3, yang meningkatkan fungsionalitas alat dan memperkenalkan rantai pengiriman bertahap.
|
Baca juga: Jenis Penipuan Aplikasi Pembayaran |
Rantai Pengiriman
Proses pengiriman sebagai berikut:
- Infeksi dimulai dengan kedatangan file ZIP melalui email phising yang berisi ekstraktor tahap pertama.
- Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\<username>\AppData\Local\Temp” dan drop executable tahap berikutnya, ‘STOREM~2.exe.’
- Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.
- Eksekusi yang dijatuhkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.
- Setelah mendekripsi muatan, dropper melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari sandbox.
- Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses hollowing yaitu proses eksploitasi keamanan di mana peretas menghapus kode dalam file yang dapat dieksekusi dan menggantinya dengan kode berbahaya.
|
Baca juga: Penipuan TikTok |
IceXLloader Baru
Saat rilis pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:
-
Alamat IP
-
UUID (Universally Unique Identifier)
-
Nama pengguna dan nama mesin
-
Versi OS Windows
-
Produk keamanan terpasang
-
Kehadiran .NET Framework v2.0 dan/atau v4.0
-
Informasi perangkat keras
-
Timestamp
Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”
Untuk penghindaran, ia menggunakan metode patching dalam memori di AMSI.DLL, melewati Antarmuka Pemindaian Antimalware Microsoft Windows yang digunakan oleh Windows Defender dan produk keamanan lainnya.
Pemuat juga membuat dan menjalankan file .bat yang menonaktifkan pemindaian real time Windows Defender dan juga menambahkan pengecualian ke Windows Defender untuk mencegahnya memindai direktori tempat IceXLoader disalin.
|
Baca juga: Penipuan Aplikasi Transaksi |
Perintah yang didukung oleh loader
-
Hentikan eksekusi
-
Kumpulkan info sistem dan eksfiltrasi ke C2
-
Tampilkan kotak dialog dengan pesan tertentu
-
Mulai ulang IceXLoader
-
Kirim permintaan GET untuk mengunduh file dan membukanya dengan “cmd/ C”
-
Kirim permintaan GET untuk mengunduh executable untuk menjalankannya dari memori
-
Muat dan jalankan rakitan .NET
-
Ubah interval suar server C2
-
Perbarui IceXLoader
-
Hapus semua salinan dari disk dan berhenti berjalan
Pelaku ancaman di balik operasi ini tidak tertarik untuk mengamankan data yang dicuri, karena database SQLite yang menyimpan informasi yang dicuri dapat diakses di alamat C2.
Basis data yang terpapar berisi catatan ribuan korban mereka, yang berisi data campuran korban yang terinfeksi di PC rumahan dan PC perusahaan.
Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.
|
Baca lainnya: |
Sumber berita:
