IXWare
IXWare ist eine Malware-Bedrohung, die als Malware-as-a-Service (MaaS) angeboten wird und zum Sammeln von Kontoanmeldeinformationen von Windows-Systemen entwickelt wurde. Insbesondere scheint IXWare jedoch darauf ausgerichtet zu sein, das Roblox-Videospiel anzugreifen, da es mehrere Techniken zum Sammeln von Roblox-Kontodaten gibt. Die Malware wird in einem Roblox-Hacking-Forum beworben, das sich auf den Weiterverkauf von Konten mit zwei verfügbaren Preisstufen spezialisiert hat - 10 Euro für einen Monat oder 25 Euro für drei Monate. Die Hacker bewerben ihre Malware mit einer beeindruckenden Liste von Funktionen. Wie die Infosec-Forscher, die die Bedrohung analysierten, bald entdeckten, sind einige Funktionen entweder nicht funktionsfähig oder existieren einfach nicht. Eine weitere Tatsache, die aus der Analyse deutlich wurde, ist, dass die Entwickler von IXWare keine hoch entwickelten Softwareentwickler sind. Viele der Funktionen der Malware werden ohne oder mit nur geringen Codeänderungen aus anderen Quellen kopiert/eingefügt.
Dennoch ist IXWare stark genug und mit einer beträchtlichen Reihe von Bedrohungsfunktionen ausgestattet. Die Bedrohung kann Anti-Analyse-Überprüfungen durchführen, indem verschiedene Techniken zur Erkennung von Umgebungen virtueller Maschinen ausgeführt werden. Wenn eine der Prüfungen positiv ist, stoppt die Malware ihre Ausführung. In IXWare sind außerdem Umgehungsmethoden für die Benutzerkontensteuerung (User Account Control, UAC) implementiert, die sich auf verschiedene Windows-Versionen auswirken: Windows 10 (Fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) und Windows Vista (CompMgmtLauncher). Darüber hinaus ist ein wichtiger Codeabschnitt der Deaktivierung des integrierten Windows Defender-Anti-Malware-Dienstes gewidmet. Der Persistenzmechanismus wird erreicht, indem der IXWare-Prozess für das System kritisch wird. Wenn der Prozess beendet wird, führt dies zu einem Systemabsturz und einem blauen Fehlerbildschirm, der dem Benutzer angezeigt wird.
Die Hauptfunktionalität von IXWare ist die Datenexfiltration. Die Bedrohung konzentriert sich hauptsächlich auf Browser, die auf dem Chromium-Projekt basieren, unterstützt jedoch auch Datendiebstahl aus der Discord-Anwendung. IXWare enthält eine Liste der spezifischen Browser, auf die es abzielt, und führt nach der Einrichtung auf dem gefährdeten System eine Überprüfung durch, um festzustellen, ob einer von ihnen vorhanden ist. Die Malware bezieht den Verschlüsselungsschlüssel aus dem lokalen Statusordner, entschlüsselt ihn über CryptoAPI und entschlüsselt anschließend die vom Browser in einer SQLite-Datei gespeicherten Anmeldeinformationen. Auf diese Weise erhält IXWare Zugriff auf URLs, Benutzernamen und entschlüsselte Kennwörter. Alle Daten werden in eine Textdatei geschrieben, die im temporären Pfad abgelegt wird. Daten von Discord-Konten werden über Discord-Token-Dateien gesammelt, die sich im Anwendungsdatenpfad befinden.
IXWare geht speziell nach Cookies, die mit dem Roblox-Spiel verbunden sind. Es listet alle laufenden Prozesse auf und sucht nach einem bestimmten Prozess mit dem Namen 'RobloxPlayerBeta'. Die Malware-Bedrohung erfasst das Authentifizierungstoken über die für den Prozess verwendeten Befehlszeilenargumente, sendet es an den Command-and-Control-Server (C & C, C2) des Angreifers und empfängt dann ein verwendbares Cookie, das daraus abgeleitet wurde.
