Οι παράγοντες απειλών πίσω από τις phishing εκστρατείες διανομής του IcedID malware χρησιμοποιούν μια μεγάλη ποικιλία μεθόδων διανομής, με σκοπό να προσδιορίσουν τι λειτουργεί καλύτερα σε διαφορετικούς στόχους.
Οι ερευνητές της Cymru παρατήρησαν αρκετές εκστρατείες κατά τη διάρκεια του περασμένου μήνα, οι οποίες ακολουθούσαν ελαφρώς διαφορετικές οδούς μόλυνσης.
Επιπλέον, οι αναλυτές παρατήρησαν αλλαγές στη διαχείριση των C2 command and control server (C2) IPs που χρησιμοποιούνται στις καμπάνιες.
Δείτε επίσης: Το Facebook προειδοποιεί τους χρήστες iPhone: Διαγράψτε αυτά τα 50 apps!
IcedID malware: Ένας παλιός γνώριμος
Το IcedID malware εμφανίστηκε πρώτη φορά το 2017 ως ένα modular banking trojan, αλλά στη συνέχεια εξελίχθηκε σε ένα malware dropper, που χρησιμοποιείται συνήθως για την απόκτηση αρχικής πρόσβασης σε εταιρικά δίκτυα.
Τα Malware droppers χρησιμοποιούνται για την κρυφή εγκατάσταση περαιτέρω κακόβουλου λογισμικού σε μια μολυσμένη συσκευή, βοηθώντας τους εγκληματίες του κυβερνοχώρου να διεισδύσουν καλά σε ένα σύστημα στόχο και στη συνέχεια να αναπτύξουν πιο ισχυρά malware payloads σε όλο το δίκτυο.
Συνήθως, οι χειριστές των malware droppers πωλούν τις υπηρεσίες τους σε άλλους εγκληματίες του κυβερνοχώρου, οι οποίοι αναθέτουν σε τρίτους αυτό το πρώτο μέρος της επίθεσης και αναλαμβάνουν ενεργό ρόλο, αφού έχει γίνει η αρχική πρόσβαση.
Στην περίπτωση του IcedID malware, χρησιμοποιούνται συνήθως phishing emails για τη διανομή του και την εγκατάστασή του μέσω ISO files, archives ή επισυναπτόμενων εγγράφων με μακροεντολές.
Στη συνέχεια, το IcedID καταφέρνει να αποφύγει τον εντοπισμό και να δημιουργήσει persistence στο σύστημα-στόχο.
Δείτε επίσης: Η φιλορωσική ομάδα KillNet πραγματοποιεί επιθέσεις DDoS στα website των αεροδρομίων των ΗΠΑ
Τελικά, το κακόβουλο λογισμικό δημιουργεί έναν proxy για να επικοινωνεί με το C2 του μέσω HTTPS και ανακτά επιπλέον payloads.
Αλυσίδα παράδοσης
Σύμφωνα με τους ερευνητές ασφαλείας της Cymru, μεταξύ 13 και 21 Σεπτεμβρίου, εντοπίστηκαν οι ακόλουθες μέθοδοι παράδοσης του IcedID malware:
- ZIP προστατευμένο με κωδικό πρόσβασης -> ISO -> LNK -> JS -> [CMD or BAT] -> DLL
- ZIP προστατευμένο με κωδικό πρόσβασης -> ISO -> CHM -> DLL
- ZIP προστατευμένο με κωδικό πρόσβασης -> ISO -> LNK -> BAT -> DLL
- Κακόβουλα έγγραφα Word ή Excel με μακροεντολές
- Παράδοση απευθείας μέσω της υπηρεσίας PrivateLoader
Οι αναλυτές παρατήρησαν ότι αυτές οι καμπάνιες χρησιμοποιούσαν είτε την ιταλική γλώσσα είτε την αγγλική. Οι εκστρατείες στα ιταλικά είχαν μικρότερη επιτυχία σε σχέση με αυτές που χρησιμοποιούσαν την αγγλική γλώσσα.
Όσον αφορά στην αποτελεσματικότητα, η Cymru σχολιάζει ότι η καμπάνια που χρησιμοποιούσε την αλυσίδα ISO → LNK ήταν η πιο επιτυχημένη, ακολουθούμενη από τις καμπάνιες PrivateLoader που χρησιμοποίησαν θέλγητρα για gaming cracks.
Οι καμπάνιες που χρησιμοποιούν αρχεία CHM ήταν οι λιγότερο επιτυχημένες και εντοπίστηκαν σε περιορισμένη κλίμακα, πιθανότατα δοκιμαστικά.
Τα αρχεία Excel που στόχευαν αγγλόφωνους χρήστες, αλλά χρησιμοποιούσαν ιταλικά για το κουμπί “Προβολή“, απέτυχαν επίσης, καθώς οι στόχοι πιθανότατα το αναγνώρισαν ως ένδειξη απάτης.
Δείτε επίσης: Τι λέει η Toyota για τη διαρροή δεδομένων των πελατών της
Οι ερευνητές προειδοποιούν ότι και οι ίδιοι οι εγκληματίες παρατηρούν ποιες από τις μεθόδους διανομής του IcedID malware είναι πιο αποτελεσματικές και ποιες όχι και μπορούν να κάνουν τις απαραίτητες αλλαγές ή να στραφούν σε άλλες μεθόδους για να αυξήσουν τα ποσοστά επιτυχίας τους.
Άλλες αλλαγές
Από τα μέσα Σεπτεμβρίου, οι χειριστές του IcedID malware άρχισαν να πειραματίζονται με τη διεύθυνση IP και την επαναχρησιμοποίηση domain για τους διακομιστές C2 τους, ενώ παλαιότερα χρησιμοποιούσαν μοναδικές IP για κάθε καμπάνια. Ωστόσο, αυτό επανήλθε στο τέλος του μήνα.
Μια άλλη αξιοσημείωτη αλλαγή είναι η μικρότερη διάρκεια ζωής των διευθύνσεων IP που χρησιμοποιούνται ως IcedID C2s. Αυτό δείχνει πιο πρόχειρη δουλειά.
Αν και είναι καλό να βλέπουμε μια διάβρωση της υποδομής για την καμπάνια κακόβουλου λογισμικού, οι τελικοί χρήστες δεν μπορούν να βασιστούν σε αυτό.
Αν θέλετε να μειώσετε τις πιθανότητες μόλυνσης από το IcedID malware, πρέπει να είστε πολύ προσεκτικοί με τα emails που λαμβάνετε και να αντιμετωπίζετε με καχυποψία όλες τις ανεπιθύμητες επικοινωνίες.
Περισσότερες λεπτομέρειες για τις νέες καμπάνιες διανομής του IcedID malware, μπορείτε να βρείτε στην έκθεση της Cymru.
Πηγή: www.bleepingcomputer.com