IXWare

IXWare è una minaccia malware offerta come Malware-as-a-Service (MaaS) progettata per raccogliere le credenziali dell'account dai sistemi Windows. Più specificamente, tuttavia, IXWare sembra essere orientato ad attaccare il videogioco Roblox a causa di più tecniche per la raccolta dei dettagli dell'account Roblox. Il malware viene pubblicizzato su un forum di hacking Roblox specializzato nella rivendita di account con due fasce di prezzo disponibili: 10 euro per un mese o 25 euro per tre mesi di servizio. Gli hacker pubblicizzano il loro malware come dotato di un elenco impressionante di funzionalità. Tuttavia, come hanno presto scoperto i ricercatori di infosec che hanno analizzato la minaccia, alcune funzionalità non sono funzionali o semplicemente non esistono. Un altro fatto che è emerso dall'analisi è che i creatori di IXWare non sono sviluppatori di software sofisticati. Molte delle funzioni del malware vengono copiate / incollate da altre fonti con poche o nessuna modifica al codice.

Tuttavia, IXWare è abbastanza potente ed è dotato di una vasta gamma di funzioni minacciose. La minaccia può eseguire controlli anti-analisi eseguendo diverse tecniche dedicate al rilevamento di ambienti di macchine virtuali. Se uno qualsiasi dei controlli è positivo, il malware interrompe la sua esecuzione. IXWare ha anche implementato metodi di bypass del controllo dell'account utente (UAC) che interessano diverse versioni di Windows: Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) e Windows Vista (CompMgmtLauncher). Inoltre, una significativa sezione di codice è dedicata alla disabilitazione del servizio antimalware integrato di Windows Defender. Il meccanismo di persistenza si ottiene rendendo il processo di IXWare un processo critico per il sistema. Se il processo viene terminato, si verificherà un arresto anomalo del sistema e all'utente verrà visualizzata una schermata di errore blu.

La funzionalità principale di IXWare è l'esfiltrazione dei dati. La minaccia si concentra principalmente sui browser basati sul progetto Chromium, ma supporta anche il furto di dati dall'applicazione Discord. IXWare contiene un elenco dei browser specifici a cui si rivolge e una volta stabilito sul sistema compromesso esegue un controllo per determinare se qualcuno di essi è presente. Il malware ottiene la chiave di crittografia dalla cartella dello stato locale, la decifra tramite CryptoAPI e quindi procede alla decrittografia delle credenziali di accesso memorizzate dal browser all'interno di un file SQLite. In questo modo, IXWare ottiene l'accesso a URL, nomi utente e password decrittografate. Tutti i dati vengono scritti in un file di testo inserito nel percorso temporaneo. I dati dagli account Discord vengono raccolti tramite file token discord situati nel percorso dati dell'applicazione.

IXWare cerca specificamente i cookie associati al gioco Roblox. Elenca tutti i processi in esecuzione alla ricerca di uno specifico denominato "RobloxPlayerBeta." La minaccia malware acquisisce il token di autenticazione tramite gli argomenti della riga di comando utilizzati per il processo, lo invia al server Command-and-Control (C&C, C2) dell'aggressore e quindi riceve un cookie utilizzabile derivato da esso.