Malware IceRAT

Malware IceRAT Descrizione

IceRAT è un particolare ceppo di malware che presenta alcune caratteristiche rare, o forse mai viste prima. L'aspetto principale che distingue questa minaccia dal resto è che è scritta in JPHP, un'implementazione PHP in esecuzione su Java VM. Invece dei comuni file Java .class, JPHP utilizza file .phb. Ciò fa una drastica differenza nel rilevamento della minaccia poiché il numero di soluzioni anti-malware che supportano .phb è estremamente basso. Per quanto riguarda le capacità della minaccia, nonostante IceRAT abbia letteralmente RAT (Remote Access Trojan) nel suo nome, agisce più come un malware backdoor e non uno che fornisce agli attacchi il controllo remoto sul sistema compromesso. Va notato che essere scritto in JPHP ha anche creato alcune sfide uniche per i ricercatori di infosec che hanno cercato di analizzare la minaccia in quanto non ci sono strumenti prontamente disponibili in grado di decompilare il codice JPHP.

L'architettura di IceRAT viene scelta anche come metodo per ridurre il potenziale rilevamento. Invece di mettere tutte le funzionalità minacciose in un solo file, gli hacker responsabili della minaccia lo hanno progettato come una raccolta di diversi componenti individuali, ciascuno incaricato dell'esecuzione di una funzione di segnale. Infatti, se viene scoperto il componente di download; ad esempio, potrebbe essere trascurato senza il contesto del carico utile minaccioso, il file potrebbe apparire come benigno.

La catena di attacco dell'infezione IceRAT è piuttosto complessa, coinvolge più fasi e diversi contagocce. La fase iniziale prevede la consegna di un archivio WinRAR autoestraente denominato Browes.exe sul sistema di destinazione. Quando viene eseguito, l'archivio rilascia e avvia un file Cabinet di Windows denominato "1.exe", che è un altro dropper che a sua volta fornisce due file: un file di installazione per il software CryptoTab e un minaccioso downloader denominato "cheats.exe." Si ritiene che il software CryptoTab, sebbene possieda capacità di cryptomining, viene consegnato sul bersaglio per fungere da esca. Il 'cheats.exe,' d'altra parte, è l'agente che finalmente recupera e distribuisce il componente principale di IceRAT Malware - klient.exe. Il file verrà rilasciato in tre posizioni separate:

  • % APPDATA% \ Microsoft \ Windows \ Menu Start \ Programmi \ Startup \. .exe
  • c: \ Windows \ Temp \. .exe
  • d: \ Windows \ Temp \ .exe

IceRAT ha stabilito una connessione con la sua infrastruttura Command-and-Control e, in caso di successo, procede a recuperare una moltitudine di moduli malware aggiuntivi. Distribuisce un collector in grado di raccogliere credenziali da una moltitudine di browser Web: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon e Orbitum. La minaccia fornisce un cripto-minatore recuperando prima un downloader di coinminer sul bersaglio. Viene avviato un componente aggiuntivo per stabilire un canale di comunicazione con l'attore della minaccia tramite Telegram.

Mentre molti dei componenti minacciosi di IceRAT sono scritti in linguaggi di programmazione più comuni e possono essere facilmente rilevati da soluzioni anti-malware, resta il fatto che l'esotico linguaggio JPHP del modulo principale si traduce in tassi di rilevamento estremamente bassi.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.