IceRAT Malware

O IceRAT é um tipo de malware peculiar que exibe algumas características raramente, ou possivelmente nunca antes vistas. O principal aspecto que diferencia essa ameaça das demais é que ele foi escrito em JPHP, uma implementação de PHP em Java VM. Em vez dos arquivos Java .class comuns, o JPHP usa arquivos .phb. Isso faz uma diferença drástica na detecção da ameaça, pois o número de soluções anti-malware que oferecem suporte a .phb é extremamente baixo. Quanto às capacidades da ameaça, apesar do IceRAT ter literalmente RAT (Trojan de acesso remoto) em seu nome, ele atua mais como um malware backdoor e não como um malware que dá aos ataques controle remoto sobre o sistema comprometido. Deve-se observar que ser escrito em JPHP também criou alguns desafios únicos para os pesquisadores da infosec que tentaram analisar a ameaça, pois não existem ferramentas prontamente disponíveis capazes de descompilar o código JPHP.

A arquitetura do IceRAT também é escolhida como um método para reduzir a detecção de potencial. Em vez de colocar todas as funcionalidades ameaçadoras em apenas um arquivo, os hackers responsáveis pela ameaça o criaram como uma coleção de vários componentes individuais, cada um com a tarefa de executar uma função de sinal. Na verdade, se o componente de download for descoberto; por exemplo, pode ser esquecido sem o contexto da carga ameaçadora, o arquivo pode parecer benigno.

A cadeia de ataque da infecção por IceRAT é bastante complexa, envolvendo vários estágios e vários conta-gotas. O estágio inicial vê a entrega de um arquivo WinRAR de extração automática denominado Browes.exe no sistema de destino. Quando executado, o arquivo cai e inicia um arquivo do Windows Cabinet chamado '1.exe', que é outro dropper que por sua vez entrega dois arquivos - um arquivo de configuração para o software CryptoTab e um downloader ameaçador chamado 'cheats.exe'. Acredita-se que o software CryptoTab, embora possua capacidades de criptominação, é entregue no alvo para agir como um engodo. O 'cheats.exe,' por outro lado, é o agente que finalmente busca e implementa o principal componente do Malware IceRAT - klient.exe. O arquivo será colocado em três locais diferentes:

• % APPDATA%\Microsoft\Windows\Menu Iniciar\Programas\Inicializar\. .exe
• c:\Windows\Temp\. .exe
• d:\Windows\Temp\.exe

O IceRAT estabeleceu uma conexão com sua infraestrutura de comando e controle e, se for bem-sucedido, prossegue para buscar uma infinidade de módulos de malware adicionais. Ele implanta um coletor capaz de coletar credenciais de vários navegadores da Web: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon e Orbitum. A ameaça entrega um criptomoeda ao buscar primeiro um downloader do coinminer no alvo. Um componente adicional é iniciado para estabelecer um canal de comunicação com o ator da ameaça via Telegram.

Embora vários dos componentes ameaçadores do IceRAT sejam escritos em linguagens de programação mais comuns e possam ser facilmente detectados por soluções anti-malware, o fato é que a exótica linguagem JPHP do módulo principal resulta em taxas de detecção extremamente baixas.