IXWare

IXWare est une menace de malware proposée sous le nom de Malware-as-a-Service (MaaS) conçu pour collecter les informations d'identification de compte à partir des systèmes Windows. Plus spécifiquement, cependant, IXWare semble être orienté vers l'attaque du jeu vidéo Roblox en raison de plusieurs techniques de collecte des détails du compte Roblox. Le malware est annoncé sur un forum de piratage Roblox spécialisé dans la revente de comptes avec deux niveaux de prix disponibles - 10 euros pour un mois ou 25 euros pour trois mois de service. Les hackers annoncent que leurs logiciels malveillants possèdent une liste impressionnante de fonctionnalités. Cependant, comme les chercheurs d'Infosec qui ont analysé la menace l'ont vite découvert, certaines fonctionnalités sont soit non fonctionnelles, soit tout simplement inexistantes. Un autre fait qui est ressorti clairement de l'analyse est que les créateurs d'IXWare ne sont pas des développeurs de logiciels sophistiqués. De nombreuses fonctions du malware sont copiées / collées à partir d'autres sources avec peu ou pas de modifications du code.

Pourtant, IXWare est assez puissant et est équipé d'un large éventail de fonctions menaçantes. La menace peut effectuer des contrôles anti-analyse en exécutant plusieurs techniques dédiées à la détection des environnements de machines virtuelles. Si l'une des vérifications est positive, le logiciel malveillant arrête son exécution. IXWare a également mis en œuvre des méthodes de contournement du contrôle de compte d'utilisateur (UAC) qui affectent différentes versions de Windows - Windows 10 (fodhelper), Windows 8 (CompMgmtLauncher), Windows 7 (CompMgmtLauncher) et Windows Vista (CompMgmtLauncher). En outre, une section de code importante est consacrée à la désactivation du service anti-malware Windows Defender intégré. Le mécanisme de persistance est obtenu en faisant du processus IXWare un processus critique pour le système. Si le processus est interrompu, cela entraînera une panne du système et un écran d'erreur bleu affiché à l'utilisateur.

La fonctionnalité principale d'IXWare est l'exfiltration des données. La menace se concentre principalement sur les navigateurs basés sur le projet Chromium, mais elle prend également en charge le vol de données depuis l'application Discord. IXWare contient une liste des navigateurs spécifiques qu'il cible et une fois établi sur le système compromis, il effectue une vérification pour déterminer si l'un d'entre eux est présent. Le logiciel malveillant obtient la clé de chiffrement du dossier d'état local, la déchiffre via CryptoAPI, puis procède au déchiffrement des informations de connexion stockées par le navigateur dans un fichier SQLite. De cette manière, IXWare accède aux URL, aux noms d'utilisateur et aux mots de passe déchiffrés. Toutes les données sont écrites dans un fichier texte placé dans le chemin temporaire. Les données des comptes Discord sont collectées via des fichiers de jetons Discord situés dans le chemin des données de l'application.

IXWare s'attaque spécifiquement aux cookies associés au jeu Roblox. Il énumère tous les processus en cours à la recherche d'un processus spécifique nommé ' RobloxPlayerBeta. `` La menace malveillante saisit le jeton d'authentification via les arguments de ligne de commande utilisés pour le processus, l'envoie au serveur Command-and-Control (C&C, C2) de l'attaquant, puis reçoit un cookie utilisable qui en est dérivé.