IceXLoader colpisce ancora. Malware a pioggia sui nostri server, con disattivazione del sistema antivirus. Ecco come funziona.
Si chiama IceXLoader e il suo ruolo è diffondere malware. Basterebbe questo per capirne la pericolosità assoluta. Il punto è che le vittime del loader in questione sono state migliaia.
E anche questo aspetto dovrebbe contribuire a darne il peso circa la letalità e la capacità di diffusione. Del resto, i ricercatori di Minerva Labs hanno allertato sulla presenza di una nuova versione del pericoloso cavallo di Troia, il quale consentirebbe ai cybercriminali di veicolare una notevole quantità di malware direttamente da remoto e in grande quantità. Potenzialmente, ogni dispositivo Windows potrebbe esserne infettato, se non altro per la portata dell’offensiva. Gli sviluppatori oscuri di IceXLoader, infatti, sarebbero riusciti a installare nel sistema infettante numerose funzionalità, tutte volte ad allargare a dismisura il bacino delle possibili vittime. Sarebbero già migliaia i server colpiti, sia di utenti privati che di aziende.
La buona notizia è che i principali sistemi di sicurezza di pc e altri dispositivi sarebbero sufficienti a contenerne gli effetti. Fatto sta che IceXLoader è in circolazione ormai da diversi mesi (è stato individuato per la prima volta nel giugno scorso), con una serie di procedure d’attacco ormai note. Il funzionamento è comunque speculare a un qualsiasi tentativo di phishing bancario. Con la differenza che, piuttosto di un ottenimento illecito di chiavi e password, IceXLoader (nella sua versione 3.3.3) dissemina il server di malware che agiscono in modo silenzioso. Risultando quindi più pericoloso di un normale phishing.
IceXLoader, i malware attaccano i server: come avviene l’infezione
Il primo step riguarda l’invio di una mail. La più classica delle trappole, con riferimenti a un conto bancario piuttosto che a un pacco in giacenza. In allegato, però, non verrà posto un link da cliccare ma addirittura un file Zip da aprire e scaricare. Ancora una volta, è il click a essere decisivo: una volta aperto il file, infatti, verrà creata una directory temporanea nascosta, mentre un file eseguibile verrà scaricato. A seconda del dispositivo attaccato, potrà essere richiesto il riavvio del sistema oppure l’aggiunta di una chiave nel registro, così da eliminare la directory temporanea. Il downloader, nel frattempo, avrà scaricato un’immagine in Png dal server che ha lanciato l’attacco, poi convertita in una DLL offuscata. A quel punto, il loader sarà diventato IceXLoader. Con conseguente esposizione dei dati più sensibili del server, dall’indirizzo IP al nome del pc, fino ai sistemi di sicurezza.
Solitamente, il malware crea una chiave di registro, per poi disattivare la scansione in tempo reale di Microsoft Defender Antivirus, così di tutti gli altri sistemi di schermatura. Infine, i dati saranno inviati al server Command and Control, dal quale potrebbero piovere altri malware sul dispositivo attaccato. Un sistema brevettato ma che, oltre che dall’antivirus, può essere contrastato dalla prevenzione. Dal momento che lo stratagemma è del tutto simile a quello del phishing, inutile dire che fidarsi di una mail con file Zip allegati non è una mossa saggia. Aprire contenuti sconosciuti può esporre immediatamente i nostri dati sensibili. Occhio.