IceRAT Malware

IceRAT ist eine eigenartige Malware-Sorte, die einige seltene oder möglicherweise nie zuvor gesehene Merkmale aufweist. Der Hauptaspekt, der diese Bedrohung von den anderen unterscheidet, ist, dass sie in JPHP geschrieben ist, einer PHP-Implementierung, die auf Java VM ausgeführt wird. Anstelle der üblichen Java-Klassendateien verwendet JPHP .phb-Dateien. Dies macht einen drastischen Unterschied bei der Erkennung der Bedrohung, da die Anzahl der Anti-Malware-Lösungen, die .phb unterstützen, äußerst gering ist. Was die Fähigkeiten der Bedrohung angeht, obwohl IceRAT buchstäblich RAT (Remote Access Trojan) im Namen hat, handelt es sich eher um eine Backdoor-Malware und nicht um eine, die den Angriffen die Fernsteuerung über das gefährdete System ermöglicht. Es sollte beachtet werden, dass das Schreiben in JPHP auch einige einzigartige Herausforderungen für die Infosec-Forscher mit sich brachte, die versuchten, die Bedrohung zu analysieren, da es keine leicht verfügbaren Tools gibt, mit denen JPHP-Code dekompiliert werden kann.

Die Architektur von IceRAT wird auch als Methode zur Reduzierung der potenziellen Erkennung ausgewählt. Anstatt alle Bedrohungsfunktionen in nur einer Datei zusammenzufassen, haben die für die Bedrohung verantwortlichen Hacker sie als Sammlung mehrerer einzelner Komponenten konzipiert, die jeweils mit der Ausführung einer Signalfunktion beauftragt sind. In der Tat, wenn die Download-Komponente entdeckt wird; Beispielsweise könnte es ohne den Kontext der drohenden Nutzlast übersehen werden, da die Datei könnte als harmlos erscheinen.

Die Angriffskette der IceRAT-Infektion ist ziemlich komplex und umfasst mehrere Stadien und mehrere Tropfer. In der Anfangsphase wird ein selbstextrahierendes WinRAR-Archiv mit dem Namen Browes.exe auf das Zielsystem übertragen. Bei der Ausführung löscht das Archiv eine Windows Cabinet-Datei mit dem Namen "1.exe" und startet diese. Dies ist ein weiterer Dropper, der wiederum zwei Dateien liefert - eine Setup-Datei für die CryptoTab-Software und einen bedrohlichen Downloader mit dem Namen "cheats.exe". Es wird angenommen, dass die CryptoTab-Software, obwohl sie über Cryptomining-Funktionen verfügt, auf dem Ziel bereitgestellt wird, um als Köder zu fungieren. Die 'cheats.exe' hingegen ist der Agent, der schließlich die Hauptkomponente von IceRAT Malware abruft und bereitstellt - klient.exe. Die Datei wird an drei verschiedenen Orten abgelegt:

• % APPDATA% \ Microsoft \ Windows \ Startmenü \ Programme \ Startup \. .exe
• c: \ Windows \ Temp \. .exe
• d: \ Windows \ Temp \ .exe

IceRAT stellte eine Verbindung zu seiner Command-and-Control-Infrastruktur her und holt bei Erfolg eine Vielzahl zusätzlicher Malware-Module ab. Es wird ein Collector bereitgestellt, der Anmeldeinformationen von einer Vielzahl von Webbrowsern abrufen kann: Chrome, Firefox, Chrom, Yandex, Filezilla, Amigo, Kometa, K-Melon und Orbitum. Die Bedrohung liefert einen Crypto-Miner, indem zuerst ein Coinminer-Downloader auf das Ziel abgerufen wird. Eine zusätzliche Komponente wird initiiert, um einen Kommunikationskanal mit dem Bedrohungsakteur per Telegramm einzurichten.

Während einige der bedrohlichen Komponenten von IceRAT in gängigeren Programmiersprachen geschrieben sind und von Anti-Malware-Lösungen leicht erkannt werden können, bleibt die Tatsache bestehen, dass die exotische JPHP-Sprache des Hauptmoduls zu extrem niedrigen Erkennungsraten führt.