SCAMMER.PRO

SCAMMER.PRO

Вредоносный революция: IcedID меняет тактику и становится еще опаснее

  • 23:30

Специалистами компании Proofpoint — это компания, которая занимается защитой от цифровых угроз. Она предлагает ряд решений для защиты корпоративных почтовых систем, включая фильтрацию спама и мошеннических писем, защиту от вредоносного ПО и фишинга, а также контроль доступа к электронной почте и мониторинг компрометации учетных данных. Компания также предоставляет решения для защиты социальных медиа, мобильных устройств и ключевых информационных систем. Она сотрудничает с крупными корпорациями и правительственными организациями по всему миру для обеспечения защиты их цифровой инфраструктуры от различных угроз.

» data-html=»true» data-original-title=»Proofpoint»>Proofpoint недавно были обнаружены новые варианты вредоносного программного обеспечения Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян, но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.

IcedID доставляется через фишинговые электронные письма в ISO-файлах, архивах или вложениях документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером и доставляет дополнительные полезные нагрузки.

» data-html=»true» data-original-title=»IcedID»>IcedID. В них отсутствуют характерные для IcedID функции мошенничества с онлайн-банкингом, вместо этого упор делается на установку дополнительных вредоносных программ на скомпрометированные системы.

Как сообщается, с конца прошлого года новые варианты IcedID использовались 3 независимыми группами злоумышленников в атаках на 7 разных кампаний. Все атаки были направлены на доставку полезной нагрузки , в первую очередь программ-вымогателей.

Специалисты Proofpoint выявили два новых варианта загрузчика IcedID: «Lite» (впервые появился в ноябре 2022 года) и «Forked» (впервые появился в феврале 2023 года). Оба загрузчика отличаются от старых версий IcedID своим функционалом и изменённым способом доставки полезной нагрузки.

Удаление ненужных функций в IcedID, который использовался в многочисленных вредоносных кампаниях без значительных изменений с 2017 года, делает зловредное ПО более незаметным и компактным, что может помочь злоумышленникам избежать обнаружения.

Начиная с ноября 2022 года «Lite» вариант загрузчика IcedID поставлялся в качестве полезной нагрузки второго этапа после заражения устройства другим наделавшим шума вредоносным ПО — Emotet — это тип вредоносного ПО, которое похищает конфиденциальную информацию из зараженных систем, такую как учетные данные для входа, финансовые данные и т.д. Emotet в основном распространяется через спам-письма, содержащие вредоносные вложения или ссылки на вредоносные веб-сайты. Emotet также может загружать дополнительные вредоносные программы на зараженные системы, которые могут быть использованы для различных вредоносных целей.

» data-html=»true» data-original-title=»Emotet»>Emotet.

«Forked» версия загрузчика впервые появилась в феврале 2023 года и распространялась напрямую через тысячи персонализированных фишинговых электронных писем с поддельными налоговыми документами. В этих атаках использовались вложения Microsoft OneNote с расширением «.one». Вложения использовались для выполнения вредоносного файла «.hta», который, в свою очередь, запускал

Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.

» data-html=»true» data-original-title=»PowerShell»>PowerShell. Через него уже сам IcedID загружался с удаленного ресурса. А жертва видела перед глазами лишь PDF-приманку, не замечая фоновой вредоносной активности.

В конце февраля исследователи Proofpoint наблюдали за маломасштабной кампанией по распространению IcedID «Forked» через поддельные почтовые уведомления от американских ведомств The National Highway Traffic Safety Administration (NHTSA) — это американское ведомство, которое отвечает за безопасность на дорогах. Оно занимается разработкой стандартов безопасности для автомобилей и обеспечивает их соблюдение, проводит исследования и анализирует данные о дорожно-транспортных происшествиях, а также координирует программы по повышению безопасности на дорогах.

» data-html=»true» data-original-title=»NHTSA»>NHTSA и Food and Drug Administration (FDA) — это американское ведомство, которое отвечает за безопасность и эффективность медицинских продуктов и продуктов питания. Оно регулирует производство, продажу и распространение медицинских изделий и лекарственных препаратов, а также контролирует качество и безопасность продуктов питания, включая добавки к ним.

» data-html=»true» data-original-title=»FDA»>FDA. Как отмечает Proofpoint, хотя некоторые злоумышленники используют новые варианты загрузчиков IcedID, другие же по-прежнему предпочитают развертывать стандартный вариант, причем одна из последних таких кампаний была зафиксирована в начале этого месяца.

«Forked» загрузчик IcedID очень похож на версию «Standard» с точки зрения своей роли: отправка базовой информации о хосте на C2-сервер – это термин, используемый в кибербезопасности, который и означающий командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
C2-серверы могут быть использованы для проведения различных видов кибератак, таких как кража конфиденциальных данных, шпионаж, распространение вредоносного ПО, проведение DDoS-атак и других.

» data-html=»true» data-original-title=»C2-сервер»>C2-сервер, а затем получение самого тела IcedID. Однако здесь используется другой тип файла, а также присутствует дополнительный домен и код расшифровки строк, что делает полезную нагрузку на 12 КБ больше, чем в стандартной версии. Загрузчик «Lite» легче на 20 КБ и не передает информацию о хосте на C2-сервер, так как обычно разворачивается совместно с Emotet, который сам профилирует взломанную систему.

«Forked» версия самого бота IcedID на 64 КБ меньше, чем «Standard» версия бота, и в основном представляет собой то же самое вредоносное ПО за исключением системы веб-инъекций, функций AiTM (Атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Метод компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную.

» data-html=»true» data-original-title=»человек посередине»>человек посередине) и возможностей обратного подключения, которые дают злоумышленникам удалённый доступ к заражённым устройствам.

IcedID обычно используется злоумышленниками для первоначального доступа к целевому устройству. Разработка новых вариантов является тревожным признаком, указывающим на сдвиг в сторону специализации бота для доставки полезной нагрузки.

Proofpoint прогнозирует, что большинство злоумышленников будут продолжать использовать «Standard» версию загрузчика IcedID, но развертывание новых версий также будет расти, а ещё позже в этом году могут появиться дополнительные варианты загрузчиков.

Источник

Секретная информация в Телеграм
SCAMMER.PRO
Telegram-plane Youtube