Discussione Malware IceXLoader

[TheWorm91]

IceXLoader, il malware che elude gli antivirus ed esfiltra dati: ecco come difendersi - Cyber Security 360

È stata identificata una nuova variante del malware IceXLoader dotata di nuove funzionalità per garantirsi la persistenza nel sistema colpito, eseguire comandi da remoto, raccogliere informazioni sul PC della vittima ed esfiltrare dati. Ecco tutti i dettagli e i consigli di mitigazione del rischio

www.cybersecurity360.it

Malware a mio avviso molto interessante anche per quanto riguarda la parte di esecuzione del downloader per il recupero da una URL hardcoded di un file PNG che viene convertito in un file DLL che esegue codice malevolo.

Se non ho capito male praticamente è stato inserito un malware all'interno di un'immagine PNG?

 

[Netcat]

Se è stato inserito dentro un'immagine PNG può essere niente come può essere tutto, i codici malware nelle immagini vengono eseguiti solo se il lettore d'immagini è affetto da una vuln di tipo buffer overflow... Per garantire l'infezione la tecnica più sfruttata è spacciare gli .exe per altro, con WinRar si possono creare veri e propri social engineering package con la tecnica dell'archivio SFX, praticamente prendi 2 file, uno è l'immagine e l'altro l'exe. Cambi l'icona all'archivio SFX per farlo sembrare un'immagine, e quando ci clicchi viene eseguita prima l'immagine e poi l'exe (droppati in %temp% folder). Tecnica molto potente ma tenuta ben presente da alcuni AV.

Comunque ho letto meglio l'articolo, non si limita ad eseguire l'immagine. L'immagine contiene un URL nei metadata che viene recuperato dal malware per mandare avanti il processo d'infezione.