Ice IX

Ice IX es un bot desarrollado a partir del código fuente filtrado de ZeuS 2.0.8.9. El supuesto autor de la amenaza no se contuvo al anunciar el malware en foros clandestinos de hackers. La amenaza se describe como muy superior a ZeuS gracias a las importantes mejoras y modificaciones escritas en el código. Se han mencionado específicamente tres áreas principales de mejora. Aparentemente, Ice IX es mucho mejor para eludir los firewalls, evitando ser atrapado por soluciones de protección proactiva y al mismo tiempo pasar desapercibido por los rastreadores. El último punto probablemente se refiere al rastreador ZeuS que obstaculizó a los ciberdelincuentes en ese momento. Se ofrecieron a la venta dos versiones de Ice IX: una de $ 600 que tenía una URL de comando y control (C2, C&C) cableada incorporada y una versión de $ 1800 sin la URL codificada.

Sin embargo, cuando los investigadores de infosec observaron más de cerca el código de Ice IX, descubrieron que las llamadas mejoras eran modificaciones menores que apenas cambiaban la estructura o el comportamiento de la amenaza, en comparación con el código original de ZeuS 2.0.8.9. Primero, el autor de Ice IX simplemente recuperó una sección de código que fue comentada en el código ZeuS filtrado. Este código fue responsable de encontrar y procesar las credenciales de correo electrónico. Otra diferencia fue que un único argumento de lanzamiento, ' -i ', ya no era compatible debido a que el creador de Ice IX eliminó la sección del código responsable de procesar esta clave. En el ZeuS original, este argumento mostraba una ventana con información sobre la amenaza. Otra mejora "importante" es la sustitución de los caracteres especiales utilizados para definir el comportamiento de ZeuS cuando el usuario objetivo visita determinados sitios web. En Ice IX, los caracteres originales '!', '@', '-' y '^' simplemente se reemplazan con las letras 'N', 'S', 'C' y 'B'.

Podría decirse que el mayor cambio se observó en la forma en que se leían los datos del Registro debido a que la función API RegOpenKeyEx se eliminó de la función responsable de este proceso. En ese momento, es posible que algunas soluciones anti-malware hayan sido engañadas por los cambios que resultaron en una disminución en la detección de la amenaza. En cuanto a evitar la detección de los rastreadores, los investigadores no pudieron encontrar evidencia concluyente de que exista en primer lugar. A lo sumo, supusieron que el creador de Ice IX podría haberse referido al nuevo método para descargar el archivo de configuración de la amenaza. Mientras que ZeuS usó una URL codificada, Ice IX empleó un POST específico que debe incluir los parámetros id = & hash =. En general, el proceso se hizo para incluir varios pasos adicionales, pero, al dejar el mismo algoritmo de cifrado que se observó en ZeuS (el algoritmo RC4), no produce ningún resultado significativo.