Ice IX

Ice IX è un bot sviluppato dal codice sorgente trapelato di ZeuS 2.0.8.9. Il presunto autore della minaccia non si è trattenuto quando ha pubblicizzato il malware nei forum degli hacker sotterranei. La minaccia è descritta come ampiamente superiore a ZeuS grazie alla presenza di miglioramenti e modifiche significativi scritti nel codice. Tre aree principali di miglioramento sono state menzionate specificamente. Apparentemente, Ice IX è molto più bravo a bypassare i firewall, evitando di essere catturato da soluzioni di protezione proattiva e allo stesso tempo non essere rilevato dai tracker. L'ultimo punto molto probabilmente si riferisce al tracker ZeuS che all'epoca ostacolava i criminali informatici. Sono state offerte in vendita due versioni di Ice IX: una da $ 600 con un URL Command-and-Control (C2, C&C) cablato e una versione da $ 1800 senza l'URL hardcoded.

Quando i ricercatori di infosec hanno esaminato più da vicino il codice di Ice IX, tuttavia, hanno scoperto che i cosiddetti miglioramenti erano modifiche minori che cambiavano a malapena la struttura o il comportamento della minaccia, rispetto al codice originale di ZeuS 2.0.8.9. Innanzitutto, l'autore di Ice IX ha semplicemente riportato una sezione di codice commentata nel codice ZeuS trapelato. Questo codice era responsabile della ricerca e dell'elaborazione delle credenziali di posta elettronica. Un'altra differenza era che un singolo argomento di lancio - ' -i ' non era più supportato a causa del creatore di Ice IX che rimuoveva la sezione del codice responsabile dell'elaborazione di questa chiave. Nello ZeuS originale, questo argomento mostrava una finestra con le informazioni sulla minaccia. Un altro miglioramento "importante" è la sostituzione dei caratteri speciali utilizzati per definire il comportamento di ZeuS quando l'utente mirato visita determinati siti Web. In Ice IX i caratteri originali "!", "@", "-" e "^" vengono semplicemente sostituiti con le lettere "N", "S", "C" e "B."

Probabilmente, il cambiamento più grande è stato osservato nel modo in cui i dati del registro venivano letti a causa della rimozione della funzione API RegOpenKeyEx dalla funzione responsabile di questo processo. Al momento, alcune soluzioni anti-malware potrebbero essere state ingannate dalle modifiche che hanno determinato una riduzione del rilevamento della minaccia. Per quanto riguarda evitare il rilevamento dai tracker, i ricercatori non sono riusciti a trovare prove conclusive che esistano in primo luogo. Tutt'al più, hanno ipotizzato che il creatore di Ice IX si stesse riferendo al nuovo metodo per scaricare il file di configurazione della minaccia. Mentre ZeuS utilizzava un URL hardcoded, Ice IX utilizzava un POST specifico che deve includere i parametri id = & hash =. Nel complesso, il processo è stato realizzato per includere diversi passaggi aggiuntivi, ma, lasciando lo stesso algoritmo di crittografia osservato in ZeuS (l'algoritmo RC4), non riesce a produrre risultati significativi.