L’evoluzione del malware si chiama IceXLoader: è stato scoperto recentemente infatti che questo virus di tipo loader ha una nuova versione che si chiama IceXLoader 3.3.3 e sta colpendo milioni di dispositivi Windows con nuove funzionalità che gli sono state aggiunte dagli sviluppatori, che in realtà sono dei cybercriminali.
Il modo in cui lavora questo loader sui dispositivi che hanno installato Windows dà la possibilità ai cybercriminali di scaricare altri malware dal server remoto del computer e infettare i dispositivi che ne vengono colpiti. Si tratta di un loader che viene diffuso inizialmente attraverso una email di phishing dalla quale parte tutto il processo di download di IceXLoader e dei nuovi malware ad esso affiliati.
Per fortuna questo tipo di malware loader, che è arrivato alla sua versione 3.3.3, è un tipo di virus facilmente rilevabile e può essere bloccato dalla maggior parte degli antivirus commerciali che si trovano sul mercato.
IceXLoader 3.3.3
Il loader originale, IceXLoader, è stato isolato e individuato per la prima volta all’inizio dell’estate, nel mese di giugno 2022, e una volta studiato è stato possibile verificare che viene solitamente inoltrato e diffuso mediante una mail di phishing alla cui apertura viene creata una directory temporanea nascosta e scaricato un file .exe, ossia un downloader.
Il downloader in questione, una volta eseguito, scarica un’immagine con estensione .PNG dal server remoto. A sua volta questa immagine PNG viene poi convertita in una DLL offuscata, in pratica nel malware IceXLoader. Ma la più grande furbata di questo virus, che usa per non essere scoperto, è che viene eseguito dopo 35 secondi per aggirare eventuali sandbox.
La nuove versione del malware, la versione 3.3.3, è sostanzialmente in grado di raccogliere tantissime informazioni a lui necessarie, come l’indirizzo IP, il nome del computer, la versione di Windows installata nel PC, i prodotti di sicurezza installati, la quantità di RAM, il tipo di CPU e il tipo di GPU.
IceXLoader riesce a disinnescare anche i Defender
Il malware IceXLoader è così potente che riesce anche a disattivare la scansione in tempo reale di Microsoft Defender Antivirus, e come se non bastasse è in grado di aggiungere alla lista esclusioni le directory in cui è stato copiato. Questa nuova versione di IceXLoader invia infine i dati al server cosiddetto C&C (command and control), dal quale può scaricare altri malware. Ecco dunque come opera questa nuova versione di malware che è stata recentemente aggiornata dai suoi sviluppatori.