Tri nove varijante bankarskog trojanca poznatog kao IcedID otkrivene su u divljini, sa zajedničkom šifrom, ali s nekoliko ključnih razlika.
Istraživači bezbjednosti u Proofpoint-u opisali su uzorke malicioznog softvera u savjetovanju objavljenom ranije danas, u kojem se nazivaju Standardna, Lite i Forked IcedID varijanta.
Prva varijanta je najčešće primećena u divljini i prvi put je otkrivena 2017. godine. Ova standardna varijanta sadrži početni loader koji kontaktira server za komandu i kontrolu Loader (C2) i preuzima DLL Loader, koji zatim isporučuje IcedID bot.
IcedID Lite varijantu, s druge strane, otkrio je Proofpoint u novembru 2022. godine kao dio Emotet kampanje od strane TA542.
„Sadrži statički URL za preuzimanje datoteke ‘Bot Pack’ sa statičkim imenom što rezultuje IcedID Lite DLL Loaderom, a zatim isporučuje Forked verziju IcedID Bot-a, izostavljajući web ubrizgavanja i funkciju povratnog povezivanja koja bi se obično koristila za bankovne prevare” stoji u savjetu, koji su napisali Pim Trouerbach, Kelsey Merriman i Joe Wise.
Treća varijanta koju je tim uočio otkrivena je u seriji od sedam kampanja u februaru 2023. godine.
„Ovu varijantu distribuisao je TA581 i jedan klaster aktivnosti bez pripisanih pretnji koji je djelovao kao početni olakšivač pristupa“, napisali su Trouerbach, Merriman i Wise. “Kampanje su koristile razne priloge e-pošte kao što su Microsoft OneNote prilozi i pomalo rijetki .URL prilozi, što je dovelo do Forked varijante IcedID-a.”
Prema istraživačima bezbjednosti, IcedID Forked Loader koji je uočen u februaru 2023. godine je sličniji standardnom IcedID Loader-u jer kontaktira Loader C2 server kako bi dohvatio i DLL loader i bot.
„Taj DLL loader ima slične artefakte kao Lite Loader i takođe učitava Forked IcedID Bot“ objasnili su.
Prema Proofpoint-u, nove varijante nagovještavaju da se znatan trud ulaže u budućnost IcedID-a i njegove baze koda.
“Dok je prvobitno glavna funkcija IcedID-a bila bankovni trojanac, uklanjanje bankovne funkcionalnosti je u skladu s cjelokupnim pomakom u odnosu na bankovni maliciozni softver i sve veći fokus na učitavanje narednih infekcija, uključujući ransomware” zaključuje se u savjetu. “Dok će mnogi hakeri nastaviti koristiti standardnu varijantu, vjerovatno će se nove varijante i dalje koristiti za olakšavanje dodatnih napada malicioznog softvera.”
Izvor: Infosecurity Magazine
