IceRAT Malware

IceRAT is een eigenaardige malwarestam die enkele zeldzame of mogelijk nooit eerder vertoonde kenmerken vertoont. Het belangrijkste aspect dat deze dreiging onderscheidt van de rest, is dat het is geschreven in JPHP, een PHP-implementatie die op Java VM draait. In plaats van de gewone Java .class-bestanden gebruikt JPHP .phb-bestanden. Dit maakt een drastisch verschil in de detectie van de dreiging, aangezien het aantal anti-malwareoplossingen dat .phb ondersteunt extreem laag is. Wat betreft de mogelijkheden van de dreiging, ondanks dat IceRAT letterlijk RAT (Remote Access Trojan) in zijn naam heeft, gedraagt het zich meer als een achterdeur-malware en niet als een malware die de aanvallen op afstand controle geeft over het gecompromitteerde systeem. Opgemerkt moet worden dat schrijven in JPHP ook enkele unieke uitdagingen opleverde voor de infosec-onderzoekers die probeerden de dreiging te analyseren, aangezien er geen direct beschikbare tools zijn die JPHP-code kunnen decompileren.

De architectuur van IceRAT is ook gekozen als een methode om potentiële detectie te verminderen. In plaats van alle bedreigende functionaliteit in slechts één bestand te stoppen, ontwierpen de hackers die verantwoordelijk waren voor de bedreiging het als een verzameling van verschillende individuele componenten, elk belast met de uitvoering van een signaalfunctie. Inderdaad, als de downloadcomponent wordt ontdekt; Als het bijvoorbeeld over het hoofd wordt gezien zonder de context van de dreigende lading, kan het bestand er goedaardig uitzien.

De aanvalsketen van de IceRAT-infectie is tamelijk complex, met meerdere stadia en verschillende droppers. In de eerste fase wordt een zelfuitpakkend WinRAR-archief met de naam Browes.exe op het beoogde systeem geleverd. Wanneer het wordt uitgevoerd, laat het archief vallen en start het een Windows Cabinet-bestand met de naam '1.exe', wat een andere dropper is die op zijn beurt twee bestanden levert - een installatiebestand voor de CryptoTab-software en een bedreigende downloader genaamd 'cheats.exe'. Aangenomen wordt dat de CryptoTab-software, hoewel hij over cryptomining-mogelijkheden beschikt, op het doelwit wordt afgeleverd om als een lokaas te fungeren. De 'cheats.exe' daarentegen is de agent die uiteindelijk het hoofdbestanddeel van IceRAT Malware - klient.exe - ophaalt en implementeert. Het bestand wordt op drie verschillende locaties neergezet:

• % APPDATA% \ Microsoft \ Windows \ Startmenu \ Programma's \ Startup \. .exe
• c: \ Windows \ Temp \. .exe
• d: \ Windows \ Temp \ .exe

IceRAT heeft een verbinding tot stand gebracht met zijn Command-and-Control-infrastructuur en, indien succesvol, gaat hij verder met het ophalen van een groot aantal aanvullende malwaremodules. Het maakt gebruik van een verzamelaar die inloggegevens kan verzamelen van een groot aantal webbrowsers: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon en Orbitum. De dreiging levert een cryptominer op door eerst een downloader van een muntminer op het doel te halen. Een extra component wordt geïnitieerd om via Telegram een communicatiekanaal met de dreigingsactor tot stand te brengen.

Hoewel verschillende van de bedreigende componenten van IceRAT zijn geschreven in meer gangbare programmeertalen en gemakkelijk kunnen worden opgepikt door anti-malwareoplossingen, blijft het feit dat de exotische JPHP-taal van de hoofdmodule resulteert in extreem lage detectiepercentages.