IXWare

IXWare er en malware-trussel, der tilbydes som Malware-as-a-Service (MaaS) designet til at indsamle kontooplysninger fra Windows-systemer. Mere specifikt ser det imidlertid ud til, at IXWare er rettet mod at angribe Roblox-videospillet på grund af at have flere teknikker til at indsamle Roblox-kontooplysninger. Malwaren annonceres på et Roblox-hackingsforum, der specialiserer sig i videresalg af konti med to tilgængelige prisniveauer - 10 euro i en måned eller 25 euro i tre måneders service. Hackerne reklamerer for deres malware som en imponerende liste over funktioner. Som infosec-forskerne, der analyserede truslen, snart opdagede, er nogle funktioner enten ikke-funktionelle eller findes simpelthen ikke. En anden kendsgerning, der blev tydelig ved analysen, er at skaberne af IXWare ikke er sofistikerede softwareudviklere. Mange af malwarefunktionerne kopieres / indsættes fra andre kilder med lidt eller ingen kodændringer.

Alligevel er IXWare kraftig nok og er udstyret med et stort udvalg af truende funktioner. Truslen kan udføre anti-analysekontrol ved at udføre flere teknikker dedikeret til at detektere virtuelle maskinmiljøer. Hvis nogen af kontrollerne er positive, stopper malware udførelsen. IXWare har også implementeret en UAC-bypass-metode (User Account Control), der påvirker forskellige Windows-versioner - Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) og Windows Vista (CompMgmtLauncher). Desuden er et betydeligt kodeafsnit viet til at deaktivere den indbyggede Windows Defender-anti-malware-tjeneste. Persistensmekanismen opnås ved at gøre IXWares proces kritisk for systemet. Hvis processen afsluttes, vil det resultere i et systemnedbrud og en blå fejlskærm, der vises for brugeren.

Hovedfunktionaliteten i IXWare er dataeksfiltrering. Truslen fokuserer primært på browsere baseret på Chromium-projektet, men den understøtter også datatyveri fra Discord-applikationen. IXWare bærer en liste over de specifikke browsere, den målretter mod, og når den først er etableret på det kompromitterede system, udfører den en kontrol for at afgøre, om nogen af dem er til stede. Malwaren henter krypteringsnøglen fra den lokale statsmappe, dekrypterer den gennem CryptoAPI og fortsætter derefter med at dekryptere loginoplysninger, der er gemt af browseren i en SQLite-fil. På denne måde får IXWare adgang til URL'er, brugernavne og dekrypterede adgangskoder. Alle data skrives i en tekstfil placeret i temp-stien. Data fra Discord-konti indsamles gennem discord-tokenfiler, der findes i applikationsdatastien.

IXWare følger specifikt cookies, der er knyttet til Roblox-spillet. Den tæller alle kørende processer på udkig efter en bestemt ved navn ' RobloxPlayerBeta. 'Malwaretruslen griber godkendelsestokenet gennem kommandolinjeargumenterne, der bruges til processen, sender det til angriberens Command-and-Control (C&C, C2) server og modtager derefter en brugbar cookie, der blev afledt af den.