Investigadores de ciberseguridad de Minerva Labs han detectado un malware potencialmente peligroso (se abre en una pestaña nueva) cepa escrita en un lenguaje de programación relativamente nuevo llamado Nim.
El equipo advirtió que un número creciente de actores de amenazas están transfiriendo su malware a Nim para ocultar mejor sus herramientas de las soluciones antivirus y los equipos de ciberseguridad.
En este caso, los investigadores de Minerva encontraron IceXLoader por primera vez en junio de 2022, cuando se consideraba que estaba en desarrollo, ya que aún faltaban muchas de sus funciones principales. Ahora, sin embargo, el malware ha llegado a la versión 3.3.3, viene con bastantes funciones peligrosas y ya ha infectado a «miles» de dispositivos Windows, tanto en el hogar como en la oficina.
criptomineros
Cuando las víctimas descargan y ejecutan IceXLoader (que generalmente ocurre después de un ataque de phishing exitoso), hará una serie de cosas, desde recopilar metadatos sobre el punto final de destino (se abre en una pestaña nueva) (dirección IP, nombre del dispositivo, versión del sistema operativo, información del hardware, etc.), hasta la instalación de un minero de criptomonedas para la moneda Monero.
Monero es una opción popular entre los ciberdelincuentes, ya que se describe como una «moneda de privacidad» que hace que sea prácticamente imposible rastrear los tokens enviados.
En términos generales, IceXLoader es un malware de etapa uno en un ataque de varias etapas. Dejará malware adicional en el punto final de destino, según lo que los actores de amenazas consideren más útil para cada dispositivo individual.
El malware también es relativamente bueno para permanecer oculto. Ofusca el código, no se ejecuta dentro del emulador de Microsoft Defender y ejecuta PowerShell con una demanda cifrada, lo que retrasa la ejecución del malware durante 35 segundos. De esa manera, también puede evitar las cajas de arena.
Los investigadores encontraron el archivo de la base de datos SQLite del malware y descubrieron “miles de registros de víctimas”. Han comenzado a notificar a estas personas, se agregó.
Mientras que la versión original de IceXLoader costaba $ 118 en la web oscura, según El registroel costo de la nueva versión aún está por verse.
Vía: El Registro (se abre en una pestaña nueva)