IceRAT Malware

IceRAT er en speciel malware-stamme, der udviser nogle sjældne eller muligvis aldrig før set egenskaber. Det vigtigste aspekt, der adskiller denne trussel fra resten, er, at den er skrevet i JPHP, en PHP-implementering, der kører på Java VM. I stedet for de almindelige Java .class-filer bruger JPHP .phb-filer. Dette gør en drastisk forskel i påvisningen af truslen, da antallet af anti-malware-løsninger, der understøtter .phb, er ekstremt lavt. Hvad angår trusselens kapacitet, på trods af at IceRAT bogstaveligt talt har RAT (Remote Access Trojan) i sit navn, fungerer den som mere en bagdør malware og ikke en, der giver angrebene fjernbetjening over det kompromitterede system. Det skal bemærkes, at skrivning i JPHP også skabte nogle unikke udfordringer for infosec-forskerne, der forsøgte at analysere truslen, da der ikke er nogen tilgængelige værktøjer, der er i stand til at dekompilere JPHP-kode.

IceRATs arkitektur er også valgt som en metode til at reducere potentiel detektion. I stedet for at placere al den truende funktionalitet i kun en fil, designede hackerne, der var ansvarlige for truslen, den som en samling af flere individuelle komponenter, der hver havde til opgave at udføre en signalfunktion. Faktisk, hvis downloadkomponenten opdages; for eksempel kunne det overses uden sammenhæng med den truende nyttelast, filen kan se ud som godartet.

Angrebskæden af IceRAT-infektionen er ret kompleks og involverer flere trin og flere dropper. Den indledende fase ser leveringen af et selvudpakkende WinRAR-arkiv med navnet Browes.exe på det målrettede system. Når det udføres, falder arkivet og starter en Windows Cabinet-fil med navnet '1.exe', som er en anden dropper, der igen leverer to filer - en installationsfil til CryptoTab-softwaren og en truende downloader ved navn 'cheats.exe.' Det menes, at CryptoTab-softwaren, selvom den besidder kryptomining-muligheder, leveres på målet for at fungere som et lokkemiddel. Den 'cheats.exe' er derimod den agent, der endelig henter og implementerer hovedkomponenten i IceRAT Malware - klient.exe. Filen slettes tre forskellige steder:

• % APPDATA% \ Microsoft \ Windows \ Start Menu \ Programmer \ Startup \. .exe
• c: \ Windows \ Temp \. .exe
• d: \ Windows \ Temp \ .exe

IceRAT etablerede en forbindelse med sin Command-and-Control-infrastruktur og fortsætter, hvis det lykkes, med at hente en lang række yderligere malware-moduler. Det implementerer en samler, der er i stand til at høste legitimationsoplysninger fra en lang række webbrowsere: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon og Orbitum. Truslen leverer en kryptominer ved først at hente en Coinminer-downloader på målet. En yderligere komponent initieres for at etablere en kommunikationskanal med trusselsaktøren via Telegram.

Mens flere af de truende komponenter i IceRAT er skrevet på mere almindelige programmeringssprog og let kan hentes af anti-malware-løsninger, er faktum stadig, at hovedmodulets eksotiske JPHP-sprog resulterer i ekstremt lave detektionsrater.