Discussione Malware IceXLoader

TheWorm91

Utente Silver
31 Marzo 2022
116
23
35
63
Malware a mio avviso molto interessante anche per quanto riguarda la parte di esecuzione del downloader per il recupero da una URL hardcoded di un file PNG che viene convertito in un file DLL che esegue codice malevolo.

Se non ho capito male praticamente è stato inserito un malware all'interno di un'immagine PNG?
 

czonta96

Utente Gold
17 Gennaio 2022
259
73
153
289
Ultima modifica:
Se è stato inserito dentro un'immagine PNG può essere niente come può essere tutto, i codici malware nelle immagini vengono eseguiti solo se il lettore d'immagini è affetto da una vuln di tipo buffer overflow... Per garantire l'infezione la tecnica più sfruttata è spacciare gli .exe per altro, con WinRar si possono creare veri e propri social engineering package con la tecnica dell'archivio SFX, praticamente prendi 2 file, uno è l'immagine e l'altro l'exe. Cambi l'icona all'archivio SFX per farlo sembrare un'immagine, e quando ci clicchi viene eseguita prima l'immagine e poi l'exe (droppati in %temp% folder). Tecnica molto potente ma tenuta ben presente da alcuni AV.

Comunque ho letto meglio l'articolo, non si limita ad eseguire l'immagine. L'immagine contiene un URL nei metadata che viene recuperato dal malware per mandare avanti il processo d'infezione.