一个代号为IceXLoader的恶意软件加载程序的更新版本被怀疑已经破坏了全球数千台个人和企业 Windows 机器。

IceXLoader在地下论坛上以 118 美元的价格出售，获得终身许可。它主要用于在被破坏的主机上下载和执行其他恶意软件。

今年 6 月，Fortinet FortiGuard实验室表示，它发现了一个用 Nim 编程语言编写的木马版本，目的是逃避分析和检测。

“虽然 6 月份发现的版本 (v3.0) 看起来像是一个正在进行中的工作，但我们最近观察到一个更新的 v3.3.3 加载程序，它看起来功能齐全并且包括一个多阶段交付链，”网络安全研究人员在周二发表的一份报告中说。

IceXLoader 传统上通过网络钓鱼活动分发，包含 ZIP 存档的电子邮件充当部署恶意软件的触发器。感染链利用 IceXLoader 提供DarkCrystal RAT和加密货币矿工。

在研究人员详述的攻击序列中，发现 ZIP 文件包含一个dropper，它会释放一个基于 .NET 的下载器，顾名思义，该下载器会从一个硬盘下载 PNG 图像（“Ejvffhop.png”）编码的网址。

这个图像文件，另一个释放器，随后被转换为一个字节数组，有效地允许它使用一种称为进程空心的技术解密并注入IceXLoader到一个新进程中。

IceXLoader 3.3.3 版，与其前身一样，是用 Nim 编写的，并且可以收集系统元数据，所有这些元数据都被泄露到远程攻击者控制的域，同时等待服务器发出的进一步命令。

这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的能力。但它的主要功能是在磁盘上或在内存中无文件地下载和执行下一阶段的恶意软件。

Minerva Labs 表示，托管在命令和控制（C2）服务器中的 SQLite 数据库文件正在不断更新有关数千名受害者的信息，并补充说它正在通知受影响的公司。