Software malicioso IceRAT

IceRAT es una variedad de malware peculiar que presenta algunas características raras, o posiblemente nunca antes vistas. El aspecto principal que distingue a esta amenaza del resto es que está escrito en JPHP, una implementación de PHP que se ejecuta en Java VM. En lugar de los archivos .class comunes de Java, JPHP usa archivos .phb. Esto marca una diferencia drástica en la detección de la amenaza, ya que la cantidad de soluciones anti-malware que admiten .phb es extremadamente baja. En cuanto a las capacidades de la amenaza, a pesar de que IceRAT tiene literalmente RAT (Troyano de acceso remoto) en su nombre, actúa más como un malware de puerta trasera y no como uno que le da a los ataques control remoto sobre el sistema comprometido. Cabe señalar que estar escrito en JPHP también creó algunos desafíos únicos para los investigadores de seguridad de información que intentaron analizar la amenaza, ya que no hay herramientas disponibles capaces de descompilar el código JPHP.

La arquitectura de IceRAT también se elige como método para reducir la detección potencial. En lugar de poner toda la funcionalidad amenazante en un solo archivo, los piratas informáticos responsables de la amenaza lo diseñaron como una colección de varios componentes individuales, cada uno con la tarea de ejecutar una función de señal. De hecho, si se descubre el componente de descarga; por ejemplo, podría pasarse por alto sin el contexto de la carga útil amenazante, el archivo puede parecer benigno.

La cadena de ataque de la infección IceRAT es bastante compleja, involucra múltiples etapas y varios goteros. La etapa inicial ve la entrega de un archivo WinRAR autoextraíble llamado Browes.exe en el sistema de destino. Cuando se ejecuta, el archivo coloca e inicia un archivo de Windows Cabinet llamado '1.exe', que es otro cuentagotas que a su vez entrega dos archivos: un archivo de instalación para el software CryptoTab y un descargador amenazante llamado 'cheats.exe'. Se cree que el software CryptoTab, aunque posee capacidades de criptominería, se entrega al objetivo para que actúe como señuelo. El 'cheats.exe', por otro lado, es el agente que finalmente recupera e implementa el componente principal de IceRAT Malware: klient.exe. El archivo se colocará en tres ubicaciones distintas:

• % APPDATA% \ Microsoft \ Windows \ Menú Inicio \ Programas \ Inicio \. .exe
• c: \ Windows \ Temp \. .exe
• d: \ Windows \ Temp \ .exe

IceRAT estableció una conexión con su infraestructura de Comando y Control y, si tiene éxito, procede a buscar una multitud de módulos de malware adicionales. Implementa un recopilador capaz de recopilar credenciales de una multitud de navegadores web: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon y Orbitum. La amenaza entrega un cripto-minero al buscar primero un descargador de coinminer en el objetivo. Se inicia un componente adicional para establecer un canal de comunicación con el actor de amenazas a través de Telegram.

Si bien varios de los componentes amenazantes de IceRAT están escritos en lenguajes de programación más comunes y pueden ser fácilmente detectados por soluciones anti-malware, el hecho es que el exótico lenguaje JPHP del módulo principal da como resultado tasas de detección extremadamente bajas.