Il malware IceRat ha attirato il suo interesse a causa dei bassi tassi di rilevamento per settimane utilizzando un’implementazione di un linguaggio insolito: JPHP.
IceRat utilizza uno stratagemma che gli consente di sfuggire a un modesto numero di controlli antivirus: un’implementazione che consente di eseguire PHP su una macchina virtuale JavaScript attraverso file in formato PHP che ne esegue il codice e che buona parte degli antivirus non supportano. Su 3 motori antivirus soltanto 2 lo riconoscono. “La maggior parte dei componenti di IceRat sono scritti in JPHP. Questa è un’implementazione PHP che gira su Java VM. Finora non ho sentito o trovato nessun altro malware che utilizzi JPHP, il che spiega in parte i bassi tassi di rilevamento su VirusTotal”, si legge nel report pubblicato dai ricercatori di G Data.
Oltre a utilizzare questo stratagemma, IceRat sfrutta una struttura modulare estremamente complessa, in cui ogni componente esegue operazioni in apparenza innocue, che assumono una funzione dannosa solo se viste nel contesto complessivo.
La procedura d’installazione adotta un sistema che consente di “distrarre” la vittima dal vero obiettivo del malware, ossia l’installer principale (Browes.EXE) avvia due installazioni: CryptoTab, un browser con funzionalità dedicate al mining di criptovalute la cui procedura d’installazione non è occultata in alcun modo e cheats.EXE. l’eseguibile che ha come obiettivo il download e l’esecuzione del componente principale di IceRat, chiamato klient.EXE.
Il modulo principale del malware è composto da svariati eseguibili che hanno scopi diversi, in particolare, sottrarre informazioni da numerosi browser. L’elenco comprende Chrome e Firefox, ma anche software meno noti come Amigo, kometa e Orbitum.
Un altro eseguibile ha invece funzioni di miner (separate da quelle di CryptoTab) che consentono di sfruttare la potenza di calcolo del PC infetto per generare criptovaluta a insaputa della vittima.
https://www.gdatasoftware.com/blog/icerat-evades-antivirus-by-using-jphp
https://www.securityinfo.it/2020/12/01/icerat-il-trojan-virtuale-che-sfugge-agli-antivirus/
