最近,研究人员发现三个新的 IcedID 恶意软件变种正在被多方威胁行为者使用,且其代码已经从以前专注于发起银行木马,转变为更多关注勒索软件。
在 3 月 27 日的博客文章中,Proofpoint 的研究人员表示,初步分析表明这是一种新派生forked版本,可能有一个单独的面板用于管理恶意软件。尽管大部分代码库相同,威胁行为者却删除了银行相关功能,例如网页注入和反向连接。
在 2022 年 11 月,Proofpoint 的研究人员首次观察到一种名为 “IcedID Lite” 的新变种,该变种作为 TA542 Emotet 攻击的后续有效载荷。研究人员表示,该恶意软件在 攻击者最近重返网络犯罪后不久就被 Emotet 恶意软件投放。现在,研究人员认为原始的 Emotet 操作员正在利用一种功能不同的 IcedID 变种。
IcedID 源自类似于 Emotet 的家族,正如 Gurucul 的解决方案架构高级总监 Antony Farrow 所解释的那样,IcedID 是一种两阶段恶意软件。Farrow 表示,两阶段恶意软件的行为模式比单阶段更容易识别,其 intent 是加载额外的恶意代码。
“Emotet 和 IcedID 是知名木马,以窃取银行凭证而闻名,现在它已经转变为一个 C2 加载器,为恶意行为者提供更灵活的载体。”Farrow 说,“我们也看到了 Emotet 使用 DropBox 作为指令集的载体,这是一种有组织的方式来尝试隐藏外部通信。”
Inversion6 的首席信息安全官 Craig Burland 补充说,Proofpoint 的研究对网络防御者来说无疑是不好的消息,但再次证明了网络犯罪分子在数字创新和精明企业家的表现。Burland 指出,大量参与 IcedID 的行为者和攻击活动表明,这是一种强大且灵活的恶意软件这种工具能适应多种用途。
评论者观点Craig Burland恶意行为者将 IcedID 核心作为不同目标的有效工具。Krishna Vishnubhotla银行业恶意软件每年都会演变,因此银行必须集成先进的保护措施。“我们可以理解,恶意行为者为何会利用 IcedID 核心来扩展他们的目标池。倘若 IcedID 被视为银行恶意软件并被其他行业忽视,经济中还有大量潜在的受害者在恶意行为者眼中,它们是新的客户。”
鲸鱼加速器苹果版Zimperium 的产品策略副总裁 Krishna Vishnubhotla 将银行恶意软件比作流感,每年都会随着恶意软件即服务的升温而演变和突变。Vishnubhotla 指出,通过社交工程和钓鱼攻击,恶意软件可以迅速感染数百万台设备,尤其在移动设备上效果显著。
“Teabot 和 Flubot 的成功是很好的例子。”Vishnubhotla 说,“消费者忽视了他们请求的权限,这进一步促进了他们的成功。为了检测和防御
