More

    Otkrivene tri varijante IcedID malvera

    Tri nove varijante bankarskog trojanca poznatog kao IcedID otkrivene su u divljini, sa zajedničkom šifrom, ali s nekoliko ključnih razlika.

    Istraživači bezbjednosti u Proofpoint-u opisali su uzorke malicioznog softvera u savjetovanju objavljenom ranije danas, u kojem se nazivaju Standardna, Lite i Forked IcedID varijanta.

    Prva varijanta je najčešće primećena u divljini i prvi put je otkrivena 2017. godine. Ova standardna varijanta sadrži početni loader koji kontaktira server za komandu i kontrolu Loader (C2) i preuzima DLL Loader, koji zatim isporučuje IcedID bot.

    IcedID Lite varijantu, s druge strane, otkrio je Proofpoint u novembru 2022. godine kao dio Emotet kampanje od strane TA542.

    „Sadrži statički URL za preuzimanje datoteke ‘Bot Pack’ sa statičkim imenom što rezultuje IcedID Lite DLL Loaderom, a zatim isporučuje Forked verziju IcedID Bot-a, izostavljajući web ubrizgavanja i funkciju povratnog povezivanja koja bi se obično koristila za bankovne prevare” stoji u savjetu, koji su napisali Pim Trouerbach, Kelsey Merriman i Joe Wise.

    Treća varijanta koju je tim uočio otkrivena je u seriji od sedam kampanja u februaru 2023. godine.

    „Ovu varijantu distribuisao je TA581 i jedan klaster aktivnosti bez pripisanih pretnji koji je djelovao kao početni olakšivač pristupa“, napisali su Trouerbach, Merriman i Wise. “Kampanje su koristile razne priloge e-pošte kao što su Microsoft OneNote prilozi i pomalo rijetki .URL prilozi, što je dovelo do Forked varijante IcedID-a.”

    Prema istraživačima bezbjednosti, IcedID Forked Loader koji je uočen u februaru 2023. godine je sličniji standardnom IcedID Loader-u jer kontaktira Loader C2 server kako bi dohvatio i DLL loader i bot. 

    „Taj DLL loader ima slične artefakte kao Lite Loader i takođe učitava Forked IcedID Bot“ objasnili su.

    Prema Proofpoint-u, nove varijante nagovještavaju da se znatan trud ulaže u budućnost IcedID-a i njegove baze koda.

    “Dok je prvobitno glavna funkcija IcedID-a bila bankovni trojanac, uklanjanje bankovne funkcionalnosti je u skladu s cjelokupnim pomakom u odnosu na bankovni maliciozni softver i sve veći fokus na učitavanje narednih infekcija, uključujući ransomware” zaključuje se u savjetu. “Dok će mnogi hakeri nastaviti koristiti standardnu ​​varijantu, vjerovatno će se nove varijante i dalje koristiti za olakšavanje dodatnih napada malicioznog softvera.”

    Izvor: Infosecurity Magazine

    Recent Articles

    spot_img

    Related Stories