Μια νέα παραλλαγή του IcedID Banking Trojan διανέμεται μέσω δύο νέων spam εκστρατειών.
Τα spam μηνύματα είναι γραμμένα στα αγγλικά και παραδίδουν αρχεία .ZIP με κακόβουλο λογισμικό ή συνδέσμους που οδηγούν σε τέτοια αρχεία ZIP.
Δείτε επίσης: Bizarro banking trojan: Στοχεύει πελάτες τραπεζών σε Ευρώπη και Αμερική
Ερευνητές της Kaspersky δήλωσαν ότι παρακολούθησαν τις spam εκστρατείες στα μέσα Μαρτίου. Τα περισσότερα από τα payloads που συνέλεξαν οι ερευνητές ήταν το IcedID (Trojan-Banker.Win32.IcedID), αλλά και μερικά δείγματα του banking trojan Qbot (Backdoor.Win32.Qbot, γνωστός και ως QakBot).
Το ίδιο μοτίβο (IcedID και Qbot) είχε παρατηρηθεί και σε μια άλλη spam εκστρατεία τον Απρίλιο. Τότε φαινόταν ότι το IcedID ερχόταν να καλύψει το κενό του Emotet, το οποίο είχαν “καταστρέψει” οι αρχές τον Ιανουάριο. Το IcedID δεν λειτουργεί μόνο σαν banking trojan, αλλά χρησιμοποιείται και ως dropper για άλλα κακόβουλα προγράμματα.
Δείτε επίσης: Το QBot trojan αντικαθιστά το IcedID σε malspam εκστρατείες!
Το IcedID (γνωστό και ως BokBot) είναι παρόμοιο με το Emotet καθώς και τα δύο είναι modular malware, που “ξεκίνησαν τη ζωή” τους ως banking trojan και χρησιμοποιούνταν αρχικά για την κλοπή οικονομικών στοιχείων. Όπως σημείωσαν οι ερευνητές της Kaspersky, τώρα το IcedID μπορεί επίσης να εντοπίσει virtual machines (VM), κάτι που είναι πολύ χρήσιμο για τους εγκληματίες.
Η νέα παραλλαγή του IcedID banking trojan έχει επίσης εξοπλιστεί με ένα νέο downloader.
Όπως λένε οι ερευνητές, το IcedID έχει δύο μέρη: ένα downloader και ένα main body. Το downloader αποστέλλει πληροφορίες χρήστη (όνομα χρήστη, διεύθυνση MAC και έκδοση Windows) στον C2 server και, με τη σειρά του, λαμβάνει το main body του κακόβουλου λογισμικού.
Δείτε επίσης: Janeleiro: Το νέο banking trojan που στοχεύει οργανισμούς και κυβερνήσεις
Σε προηγούμενες εκδόσεις του IcedID, το downloader είχε δημιουργηθεί ως x86 εκτελέσιμο. Στη νέα έκδοση, οι εγκληματίες μετακινήθηκαν από το x86 σε μια έκδοση x86-64.
Επίσης, οι δημιουργοί της τελευταίας παραλλαγής IcedID τροποποίησαν το βασικό τμήμα του κακόβουλου λογισμικού. Παλιότερα, το main body ήταν ένα shellcode κρυμμένο σε μια εικόνα .PNG. “Το downloader παίρνει την εικόνα, αποκρυπτογραφεί το main body στη μνήμη και το εκτελεί“, αναφέρουν οι ερευνητές. “Το main body αρχίζει να εκτελεί τις κακόβουλες ενέργειές του, όπως web injects, εξαγωγή δεδομένων στο C2, λήψη και εκτέλεση πρόσθετων payloads, κλοπή πληροφοριών του συστήματος και πολλά άλλα“, δήλωσαν.
Διανέμεται ακόμα και ως εικόνα .PNG. Αλλά αυτή τη φορά, οι δημιουργοί αποφάσισαν να μην χρησιμοποιήσουν shellcode. Τώρα το main body του IcedID διανέμεται ως “ένα standard [PE ή Portable Executable] file“.
Από την άλλη, το Qbot δεν έχει δύο μέρη. Είναι ένα single executable.
“Για να κλέψει κωδικούς πρόσβασης, να πραγματοποιήσει web injects και να πάρει τον έλεγχο του μολυσμένου συστήματος απομακρυσμένα, το Qbot κατεβάζει πρόσθετα modules: Web inject module, hVNC (remote control module), εργαλείο συλλογής email και password και άλλα“, λένε οι ερευνητές.
Οι δύο spam εκστρατείες που διανέμουν το IcedID Banking Trojan
Εκστρατεία 1: DotDat
Οι ερευνητές ονόμασαν την πρώτη εκστρατεία “DotDat“. Τα spam μηνύματα περιέχουν συνημμένα .ZIP, τα οποία με τη σειρά τους περιέχουν ένα κακόβουλο excel αρχείο με το ίδιο όνομα.
Το αρχείο Excel κατεβάζει ένα κακόβουλο payload μέσω μιας μακροεντολής από μια διεύθυνση URL με τη μορφή [host] / [ψηφία]. [Ψηφία] .dat και στη συνέχεια εκτελεί το payload. Το payload που παραδίδει είναι είτε το IcedID downloader – Trojan.Win32.Ligooc – είτε το Qbot.
Το αρχείο Excel περιέχει obfuscated Excel 4.0 macro formulas για λήψη και εκτέλεση του payload. Η μακροεντολή δημιουργεί ένα payload URL και χρησιμοποιεί το WinAPI function “URLDownloadToFile” για λήψη του κακόβουλου λογισμικού.
Εκστρατεία 2: “summer.gif“
Στη δεύτερη εκστρατεία, οι ερευνητές εντόπισαν spam emails που περιείχαν συνδέσμους προς hacked websites με κακόβουλα αρχεία με το όνομα “documents.zip”, “document-XX.zip” και “doc-XX.zip”, όπου το XX αντιπροσωπεύει δύο τυχαία ψηφία. Όπως και στην εκστρατεία DotDat, τα Zip αρχεία περιείχαν ένα αρχείο Excel με μια μακροεντολή που έκανε λήψη του IcedID downloader. Η συγκεκριμένη εκστρατεία κορυφώθηκε στα μέσα Μαρτίου και μέχρι τον Απρίλιο είχε σχεδόν εξαφανιστεί.
IcedID banking trojan
Οι spam εκστρατείες διανομής των IcedID και Qbot έχουν στοχεύσει κυρίως Κινέζους χρήστες (16%). Ακολουθούν χρήστες στην Ινδία (12%), την Ιταλία (11%), τις ΗΠΑ (11%) και τη Γερμανία (9%).
Πηγή: Threatpost