นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Minerva Labs ตรวจพบมัลแวร์ที่อาจเป็นอันตราย (เปิดในแท็บใหม่) ซึ่งเขียนด้วยภาษาโปรแกรมที่ค่อนข้างใหม่ที่เรียกว่า Nim
ทีมงานเตือนว่ามีผู้ประสงค์ร้ายจำนวนมากขึ้นเรื่อยๆ กำลังส่งมัลแวร์ของตนไปยัง Nim เพื่อซ่อนเครื่องมือของตนจากโซลูชันแอนติไวรัสและทีมรักษาความปลอดภัยทางไซเบอร์ได้ดียิ่งขึ้น
ในกรณีนี้ IceXLoader ถูกค้นพบครั้งแรกโดยนักวิจัยของ Minerva ในเดือนมิถุนายน 2022 ซึ่งถือว่าอยู่ในระหว่างการพัฒนาเนื่องจากคุณสมบัติหลักหลายประการยังคงขาดหายไป อย่างไรก็ตาม ขณะนี้ มัลแวร์ได้มาถึงเวอร์ชัน 3.3.3 แล้ว มาพร้อมกับฟีเจอร์ที่เป็นอันตรายจำนวนหนึ่ง และได้แพร่ระบาดไปยังอุปกรณ์ Windows นับพันเครื่อง ทั้งที่บ้านและที่ทำงาน
นักขุด crypto
เมื่อเหยื่อดาวน์โหลดและเรียกใช้ IceXLoader (ซึ่งมักเกิดขึ้นหลังจากการโจมตีแบบฟิชชิ่งสำเร็จ) มันจะทำสิ่งต่างๆ มากมาย ตั้งแต่การรวบรวมข้อมูลเมตาเกี่ยวกับปลายทางเป้าหมาย (เปิดในแท็บใหม่) (ที่อยู่ IP ชื่ออุปกรณ์ เวอร์ชันระบบปฏิบัติการ ฮาร์ดแวร์ ข้อมูล ฯลฯ) จนกระทั่งติดตั้งเครื่องขุดสกุลเงินดิจิตอลสำหรับเหรียญ Monero
Monero เป็นตัวเลือกยอดนิยมในหมู่อาชญากรไซเบอร์ เนื่องจากมันถูกอธิบายว่าเป็น “สกุลเงินส่วนตัว” ที่ทำให้การติดตามโทเค็นที่ส่งแทบจะเป็นไปไม่ได้เลย
โดยทั่วไปแล้ว IceXLoader เป็นมัลแวร์ระยะแรกในการโจมตีแบบหลายขั้นตอน มันจะปล่อยมัลแวร์เพิ่มเติมบนอุปกรณ์เป้าหมาย ขึ้นอยู่กับผู้คุกคามที่เห็นว่ามีประโยชน์มากที่สุดสำหรับอุปกรณ์แต่ละเครื่อง
มัลแวร์ยังค่อนข้างดีในการซ่อนตัว มันทำให้โค้ดสับสน ไม่ทำงานในโปรแกรมจำลอง Microsoft Defender และดำเนินการ PowerShell ด้วยคำขอที่เข้ารหัส ทำให้การดำเนินการของมัลแวร์ล่าช้าไป 35 วินาที วิธีนี้ทำให้คุณสามารถหลีกเลี่ยงแซนด์บ็อกซ์ได้
นักวิจัยพบไฟล์ฐานข้อมูล SQLite ของมัลแวร์ และค้นพบ “บันทึกเหยื่อหลายพันรายการ” พวกเขาได้เริ่มแจ้งเตือนคนเหล่านี้แล้ว มันถูกเพิ่มเข้ามา
แม้ว่า IceXLoader เวอร์ชันดั้งเดิมจะมีราคา 118 ยูโรบนเว็บมืด ตามรายงานของ The Register แต่ราคาของเวอร์ชันใหม่ยังคงต้องรอดูต่อไป
ผ่าน: The Registry (เปิดในแท็บใหม่)