Νέες IcedID παραλλαγές βρέθηκαν χωρίς τη συνηθισμένη λειτουργία απάτης τραπεζών. Αντ’ αυτού φαίνεται να έχουν σκοπό την εγκατάσταση επιπλέον malware σε μολυσμένες συσκευές.
Με βάση τη Proofpoint, αυτές οι νέες παραλλαγές έχουν χρησιμοποιηθεί από τρεις ξεχωριστούς χάκερς σε επτά καμπάνιες από πέρσι, δίνοντας την προσοχή τους στο να στείλουν επιπλέον φορτίο, πιο συγκεκριμένα ransomware.
Η Proofpoint έχει προσδιορίσει δύο νέες εκδόσεις του IcedID loader, ονόματι “Lite” και “Forked” και τα δύο στέλνουν το ίδιο IcedID bot με ένα πιο εστιασμένο σύνολο λειτουργιών.
Με την αφαίρεση των αχρείαστων λειτουργιών στο IcedID, το οποίο έχει χρησιμοποιηθεί σε πολυάριθμες καμπάνιες χωρίς να έχει αλλάξει ο κώδικας του από το 2017, το κάνει πιο αθόρυβο και πιο λιτό, κάνοντας έτσι τους χάκερς να αποφύγουν τυχόν εντοπισμό.
Δείτε επίσης: IcedID Banking Trojan: Νέα παραλλαγή διανέμεται μέσω spam emails
Νέα καμπάνια IcedID
Από τον Νοέμβριο του 2022, η “Lite” έκδοση του IcedID loader στάλθηκε σαν δεύτερο μέρος του φορτίου σε συστήματα που είχαν μολυνθεί από το γνωστό Emote malware.
Η “Forked” έκδοση του loader πρωτοεμφανίστηκε τον Φεβρουάριο του 2023, μολύνοντας κατευθείαν μέσω invoice phishing email.
Αυτά τα μηνύματα χρησιμοποιούσαν extension Microsoft OneNote (.one) για να εκτελέσουν ένα κακόβουλο αρχείο HTA το οποίο έτρεχε εναλλάξ εντολές PowerShell που τραβούσε το IcedID απομακρυσμένα. Την ίδια στιγμή, το θύμα έβλεπε ένα PDF σαν αντιπερισπασμό.
Στα τέλη Φεβρουαρίου, οι ερευνητές της Proofpoint παρατήρησαν μια καμπάνια χαμηλού όγκου που διένειμε το IcedID “Forked” μέσω ψεύτικων ειδοποιήσεων από τον εθνικό νόμο για την ασφάλεια της κυκλοφορίας και των μηχανοκίνητων οχημάτων και τον Οργανισμό Τροφίμων και Φαρμάκων των ΗΠΑ (FDA).
Είναι σημαντικό να σημειωθεί ότι ενώ ορισμένοι χάκερς χρησιμοποιούν νέες παραλλαγές του κακόβουλου λογισμικού IcedID, άλλοι εξακολουθούν να επιλέγουν να χρησιμοποιούν την “Standard” παραλλαγή, με μία από τις πιο πρόσφατες καμπάνιες να χρονολογείται στις 10 Μαρτίου 2023.
Οι νέες παραλλαγές
Ο loader του “Forked” IcedID είναι αρκετά παρόμοιος με την έκδοση “Standard” όσον αφορά τον ρόλο του, στέλνοντας βασικές host πληροφορίες στο C2 και στη συνέχεια ανακτώντας το bot IcedID.
Ωστόσο, το “Forked” χρησιμοποιεί διαφορετικό τύπο αρχείου (COM Server) και διαθέτει πρόσθετο κώδικα αποκρυπτογράφησης domain και συμβολοσειράς, καθιστώντας το ωφέλιμο φορτίο 12KB μεγαλύτερο από την έκδοση “Standard”.
Πρόταση:IcedID malware: Οι hackers δοκιμάζουν νέες μεθόδους διανομής
Από την άλλη πλευρά, ο loader της παραλλαγή “Lite” είναι πιο ελαφρύς, στα 20KB, και δεν διοχετεύει host πληροφορίες στο C2. Αυτή η αλλαγή είναι λογική, δεδομένου ότι αναπτύχθηκε μαζί με το Emotet, το οποίο είχε ήδη παρουσιάσει το προφίλ του παραβιασμένου συστήματος.
Η “Forked” έκδοση του bot IcedID είναι 64KB μικρότερη από το “Standard” bot και είναι ουσιαστικά το ίδιο κακόβουλο λογισμικό μείον το σύστημα διαδικτυακών εγχύσεων, τις λειτουργίες AiTM και τις δυνατότητες backconnect που δίνουν στους χάκερς απομακρυσμένα πρόσβαση σε μολυσμένες συσκευές.
Το IcedID χρησιμοποιείται γενικά για την αρχική πρόσβαση από χάκερς, επομένως η ανάπτυξη νέων παραλλαγών είναι ένα ανησυχητικό σημάδι, που σημαίνει μια στροφή προς την εξειδίκευση του bot στην παράδοση φορτίου.
Διαβάστε επίσης: Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote
Η Proofpoint προβλέπει ότι οι περισσότεροι χάκερς θα συνεχίσουν να χρησιμοποιούν την παραλλαγή “Standard”, αλλά η ανάπτυξη νέων εκδόσεων IcedID πιθανότατα θα αυξηθεί και περισσότερες παραλλαγές ενδέχεται να εμφανιστούν αργότερα το 2023.
πηγή πληροφοριών:bleepingcomputer.com
