IXWare

IXWare is een malwarebedreiging die wordt aangeboden als Malware-as-a-Service (MaaS) en is ontworpen om accountreferenties van Windows-systemen te verzamelen. Meer specifiek lijkt IXWare echter gericht te zijn op het aanvallen van de Roblox-videogame vanwege meerdere technieken voor het verzamelen van Roblox-accountgegevens. De malware wordt geadverteerd op een Roblox-hackforum dat gespecialiseerd is in het doorverkopen van accounts met twee beschikbare prijsniveaus: 10 euro voor een maand of 25 euro voor drie maanden service. De hackers maken reclame voor hun malware met een indrukwekkende lijst met functies. Maar zoals de infosec-onderzoekers die de dreiging analyseerden al snel ontdekten, zijn sommige functies niet functioneel of bestaan ze simpelweg niet. Een ander feit dat duidelijk werd uit de analyse, is dat de makers van IXWare geen geavanceerde softwareontwikkelaars zijn. Veel van de malwarefuncties worden gekopieerd / geplakt uit andere bronnen met weinig tot geen codewijzigingen.

Toch is IXWare krachtig genoeg en is het uitgerust met een aanzienlijke reeks bedreigende functies. De dreiging kan anti-analysecontroles uitvoeren door verschillende technieken uit te voeren die speciaal zijn bedoeld voor het detecteren van virtuele machine-omgevingen. Als een van de controles positief is, stopt de malware de uitvoering ervan. IXWare heeft ook een User Account Control (UAC) bypass-methoden geïmplementeerd die van invloed zijn op verschillende Windows-versies - Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) en Windows Vista (CompMgmtLauncher). Verder is er een aanzienlijk codegedeelte gewijd aan het uitschakelen van de ingebouwde Windows Defender-antimalwareservice. Het persistentiemechanisme wordt bereikt door het proces van IXWare kritisch te maken voor het systeem. Als het proces wordt beëindigd, resulteert dit in een systeemcrash en wordt een blauw foutscherm weergegeven voor de gebruiker.

De belangrijkste functionaliteit van IXWare is data-exfiltratie. De dreiging richt zich voornamelijk op browsers die zijn gebaseerd op het Chromium-project, maar ondersteunt ook gegevensdiefstal uit de Discord-applicatie. IXWare heeft een lijst met de specifieke browsers waarop het zich richt en eenmaal vastgesteld op het gecompromitteerde systeem, voert het een controle uit om te bepalen of een van deze aanwezig is. De malware verkrijgt de coderingssleutel uit de lokale statusmap, ontcijfert deze via CryptoAPI en gaat vervolgens verder met het decoderen van de inloggegevens die door de browser zijn opgeslagen in een SQLite-bestand. Op deze manier krijgt IXWare toegang tot URL's, gebruikersnamen en gedecodeerde wachtwoorden. Alle gegevens worden geschreven in een tekstbestand dat in het tijdelijke pad wordt geplaatst. Gegevens van Discord-accounts worden verzameld via discord-tokenbestanden die zich in het gegevenspad van de applicatie bevinden.

IXWare gaat specifiek achter cookies aan die specifiek aan het Roblox-spel zijn gekoppeld. Het somt alle actieve processen op die zoeken naar een specifieke genaamd ' RobloxPlayerBeta. 'De malwarebedreiging grijpt het authenticatietoken via de opdrachtregelargumenten die voor het proces worden gebruikt, stuurt het naar de Command-and-Control-server (C&C, C2) van de aanvaller en ontvangt vervolgens een bruikbare cookie die ervan is afgeleid.