IXWare

O IXWare é uma ameaça de malware oferecida como Malware-como-um-Serviço (MaaS), projetada para coletar credenciais de contas dos sistemas Windows. Mais especificamente, no entanto, o IXWare parece estar voltado para atacar o videogame Roblox devido a ter várias técnicas para coletar detalhes da conta Roblox. O malware está sendo anunciado em um fórum de hackers Roblox especializado na revenda de contas com duas faixas de preço disponíveis - 10 euros por um mês ou 25 euros por três meses de serviço. Os hackers anunciam que o seu malware possui uma lista impressionante de recursos. No entanto, como os pesquisadores de infosec que analisaram a ameaça logo descobriram, alguns recursos não são funcionais ou simplesmente não existem. Outro fato que ficou claro a partir da análise é que os criadores do IXWare não são desenvolvedores sofisticados de software. Muitas das funções do malware são copiadas/coladas de outras fontes com pouca ou nenhuma modificação de código.

Ainda assim, o IXWare é potente o suficiente e está equipado com uma gama considerável de funções ameaçadoras. A ameaça pode realizar digitalizações anti-análise, executando várias técnicas dedicadas à detecção de ambientes de máquinas virtuais. Se alguma das digitalizações for positiva, o malware interrompe a sua execução. O IXWare também tem métodos de desvio de Controle da Conta do Usuário (UAC) implementados que afetam diferentes versões do Windows - Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) e Windows Vista (CompMgmtLauncher). Além disso, uma seção significativa de código é dedicada a desativar o serviço anti-malware integrado do Windows Defender. O mecanismo de persistência é obtido tornando o processo do IXWare crítico para o sistema. Se o processo for encerrado, isso resultará em uma falha do sistema e em uma tela azul de erro exibida para o usuário.

A principal funcionalidade do IXWare é a exfiltração de dados. A ameaça se concentra principalmente em navegadores baseados no projeto Chromium, mas também suporta o roubo de dados do aplicativo Discord. O IXWare carrega uma lista dos navegadores específicos aos quais se destina e, uma vez estabelecido no sistema comprometido, executa uma digitalização para determinar se algum deles está presente. O malware obtém a chave de criptografia da pasta de estado local, decifra-a por meio da CryptoAPI e, a seguir, descriptografa as credenciais de login armazenadas pelo navegador em um arquivo SQLite. Dessa forma, o IXWare obtém acesso a URLs, nomes de usuário e senhas descriptografadas. Todos os dados são gravados em um arquivo de texto colocado no caminho temporário. Os dados das contas Discord são coletados por meio de arquivos Discord de token localizados no caminho de dados do aplicativo.

O IXWare vai atrás de cookies associados especificamente ao jogo Roblox. Ele enumera todos os processos em execução à procura de um específico chamado ' RobloxPlayerBeta. 'A ameaça de malware agarra o token de autenticação por meio dos argumentos de linha de comando usados para o processo, envia-o para o servidor de Comando eControle (C&C, C2) do invasor e recebe um cookie utilizável derivado dele.