新型IceXLoader恶意软件加载器变种感染全球数千名受害者

代码为的恶意软件加载器的更新版本IceXLoader被怀疑在世界各地破坏了数千台个人和企业Windows计算机。

IceXLoader是一种商品恶意软件，在地下论坛上以118美元的价格出售，终身许可。它主要用于在被破坏的主机上下载和执行其他恶意软件。

今年6月，Fortinet FortiGuard实验室表示，他们发现了一个用尼姆编程语言编写的木马程序版本，目的是逃避分析和检测。

Minerva实验室的网络安全研究员娜塔莉·扎加罗夫在周二发表的一份报告中表示：“虽然6月发现的版本（3.0版）看起来像是一个正在进行的工作，但我们最近观察到了一个更新的3.3.3版加载程序，该加载程序看起来是完全可运行的，包括一个多阶段交付链”。

IceXLoader传统上是通过网络钓鱼活动分发的，包含ZIP存档的电子邮件可以触发恶意软件的部署。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。

在Minerva Labs详细描述的攻击序列中，发现ZIP文件包含一个滴管，该滴管会丢弃一个基于.NET的下载器，顾名思义，该下载器从硬编码URL下载PNG图像（“Ejvffhop.PNG”）。

这个图像文件，另一个滴管，随后被转换成一个字节数组，有效地允许它解密IceXLoader，并使用一种称为进程中空的技术将其注入新进程。

IceXLoader的3.3.3版和它的前身一样，都是用Nim编写的，能够收集系统元数据，所有这些元数据都被过滤到远程攻击者控制的域中，同时等待服务器发出进一步的命令。

这些命令包括重新启动和卸载恶意软件加载器并停止其执行的功能。但它的主要功能是在磁盘上或无文件内存中下载并执行下一阶段的恶意软件。

Minerva实验室表示，指挥和控制（C2）服务器中托管的SQLite数据库文件正在不断更新，其中包含数千名受害者的信息，并补充说，该数据库正在通知受影响的公司。