IXWare

IXWare es una amenaza de malware que se ofrece como Malware-as-a-Service (MaaS) diseñado para recopilar credenciales de cuenta de sistemas Windows. Sin embargo, más específicamente, IXWare parece estar orientado a atacar el videojuego Roblox debido a que tiene múltiples técnicas para recopilar los detalles de la cuenta Roblox. El malware se anuncia en un foro de piratería de Roblox que se especializa en revender cuentas con dos niveles de precios disponibles: 10 euros por un mes o 25 euros por tres meses de servicio. Los piratas informáticos anuncian que su malware tiene una lista impresionante de características. Sin embargo, como pronto descubrieron los investigadores de seguridad de la información que analizaron la amenaza, algunas características no son funcionales o simplemente no existen. Otro hecho que quedó claro del análisis es que los creadores de IXWare no son desarrolladores de software sofisticados. Muchas de las funciones del malware se copian / pegan de otras fuentes con pocas o ninguna modificación de código.

Aún así, IXWare es lo suficientemente potente y está equipado con una variedad considerable de funciones amenazantes. La amenaza puede realizar comprobaciones anti-análisis mediante la ejecución de varias técnicas dedicadas a detectar entornos de máquinas virtuales. Si alguna de las comprobaciones es positiva, el malware detiene su ejecución. IXWare también tiene implementados métodos de omisión de Control de cuentas de usuario (UAC) que afectan a diferentes versiones de Windows: Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) y Windows Vista (CompMgmtLauncher). Además, una sección de código importante está dedicada a deshabilitar el servicio antimalware integrado de Windows Defender. El mecanismo de persistencia se logra haciendo que el proceso de IXWare sea crítico para el sistema. Si el proceso finaliza, se producirá un bloqueo del sistema y se mostrará una pantalla de error azul al usuario.

La principal funcionalidad de IXWare es la exfiltración de datos. La amenaza se centra principalmente en los navegadores basados en el proyecto Chromium, pero también admite el robo de datos de la aplicación Discord. IXWare lleva una lista de los navegadores específicos a los que apunta y, una vez establecido en el sistema comprometido, realiza una verificación para determinar si alguno de ellos está presente. El malware obtiene la clave de cifrado de la carpeta del estado local, la descifra a través de CryptoAPI y luego procede a descifrar las credenciales de inicio de sesión almacenadas por el navegador dentro de un archivo SQLite. De esta manera, IXWare obtiene acceso a URL, nombres de usuario y contraseñas descifradas. Todos los datos se escriben en un archivo de texto ubicado en la ruta temporal. Los datos de las cuentas de Discord se recopilan a través de archivos de token de discordia ubicados en la ruta de datos de la aplicación.

IXWare busca cookies asociadas específicamente con el juego Roblox. Enumera todos los procesos en ejecución que buscan uno específico llamado ' RobloxPlayerBeta. La amenaza de malware toma el token de autenticación a través de los argumentos de la línea de comando utilizados para el proceso, lo envía al servidor de Comando y Control (C&C, C2) del atacante y luego recibe una cookie utilizable que se derivó de él.