Nieuwe versie van IceXLoader-malwareloader duikt op

Beveiligingsonderzoekers waarschuwen voor een nieuwe versie van IceXLoader, software die aanvallers inzetten voor het laden van malware op getroffen systemen. De malwareloader is al langer in ontwikkeling en zou nu volledig klaar voor gebruik zijn.

IceXLoader versie 3 is afgelopen zomer ontdekt door FortiGuard Labs van Fortinet. Het meldde toen dat de malwareloader nog in ontwikkeling is. Onderzoekers van Minerva Labs melden nu dat een nieuwe versie van IceXLoader is opgedoken die is uitontwikkeld. Deze omvat onder meer een afleverketen voor malafide code.

Data verzamelen

IceXLoader verzamelt onder meer metagegevens op getroffen systemen. Denk hierbij aan IP-adressen, gebruikersnamen, systeemnamen, Windows-versie en informatie over hardwarespecificaties. Deze data verstuurt de malware naar een command & control-server, waarmee de aanvallers IceXLoader aansturen.

De aanvallers zouden al duizenden slachtoffers hebben gemaakt; de onderzoekers wijzen op een SQLite-databasebestand dat gegevens van duizenden slachtoffers zou omvatten. Het gaat daarbij om zowel zakelijke slachtoffers als consumenten.

Phishing

Aanvallers verspreiden de malwareloader via phishingcampagnes naar slachtoffers. Zij sturen hierbij e-mailberichten uit met een ZIP-bestand waarin een dropper is verstopt. Deze installeert een .NET-gebaseerde downloader. Deze downloader download vervolgens een tweede malwaredropper, die op zijn beurt IceXLoader installeert.

Meer informatie is hier beschikbaar.