Osservato per la prima volta a giugno 2022, il malware scritto in linguaggio Nim oltre a garantirsi una persistenza, sarebbe in grado di eseguire comandi, raccogliere informazioni sul sistema colpito ed esfiltrare dati.
Questo malware è facile da ottenere, può infatti essere comprato facilmente nel dark web a soli 118 euro per avere una licenza a vita e permette di infettare dispositivi Windows.
La catena di infezione prevede innanzitutto l’invio di un file mediante un’email di phishing. All’apertura viene creata una directory temporanea nascosta e scaricato un file eseguibile (downloader). In base ai parametri impostati è possibile riavviare il computer e aggiungere una chiave nel registro per eliminare la directory temporanea.
Viene quindi eseguito il downloader che scarica un’immagine PNG dal server remoto. Quest’ultima viene successivamente convertita in una DLL offuscata, ovvero in IceXLoader, eseguito dopo 35 secondi di attesa per aggirare eventuali sandbox. La versione 3.3.3 del malware raccoglie numerose informazione, tra cui indirizzi IP, nome del computer, versione di Windows, prodotti di sicurezza installati, quantità di RAM, tipo di CPU e GPU. Il malware disattiva inoltre la scansione in tempo reale di Microsoft Defender Antivirus e aggiunge alla lista esclusioni le directory in cui è stato copiato.
L’Agenzia per la Cybersicurezza Nazionale raccomanda agli utenti e alle organizzazioni, per contrastare questa tipologia di attacchi, di verificare scrupolosamente le e-mail ricevute, attivando anche periodiche sessioni di formazione finalizzate a riconoscere il phishing e a insegnare a diffidare delle comunicazioni inattese, prestando sempre la massima attenzione alle URL che si intende visitare.
