IcedID - это банковский троян, который позволяет злоумышленникам использовать его для кражи банковских реквизитов жертв. IcedID aka BokBot в основном нацелен на бизнес и крадет платежную информацию, он также действует как загрузчик и может доставлять другие вирусы или загружать дополнительные модули.
Что такое IcedID?
IcedID - это вредоносная программа типа банковского трояна, которая позволяет злоумышленникам использовать ее для кражи банковских учетных данных жертв. IcedID aka BokBot в основном нацелен на предприятия и крадет платежную информацию, он также действует как загрузчик и может доставлять другие вирусы или загружать дополнительные модули.
Исследователи впервые выявили IcedID осенью 2017 года, когда первые жертвы пострадали от атак этого вредоносного ПО. После дальнейшего расследования исследователи выяснили, что IcedID - это модульный вирус, который несет в себе очень продвинутые функции. Кроме того, первоначально сообщалось, что IcedID не содержит заимствованного или украденного кода из других троянов, что нетипично для более развитых образцов вредоносного ПО, подобных тому, с которым мы имеем дело сегодня.
Общее описание вредоносной программы IcedID
Считается, что IcedID управляется группой угрожающих субъектов, имеющих связи с восточноевропейскими кибербандами. Кроме того, известно, что преступники, стоящие за IcedID, сотрудничают с создателями или распространителями Emotet и TrickBot.
Атаки IcedID направлены в основном на банки в Северной Америке и несколько отдельных банковских организаций в Великобритании. Эта вредоносная программа нацелена в основном на корпоративные банковские счета, провайдеров платежных карт, поставщиков мобильных услуг, платежные системы, веб-почту и сайты электронной коммерции. На данный момент нам не удалось найти никакой информации об атаках, направленных на частных пользователей.
Однако в будущем ситуация вполне может измениться, поскольку есть основания полагать, что преступники, стоящие за IcedID, готовят новые и, возможно, более масштабные кампании. Появилось несколько инструментов удаления, поэтому неудивительно, что хакеры пытаются выровнять игру. На самом деле, в эту вредоносную программу была добавлена функция сетевого распространения, что дает ей возможность перемещаться по различным конечным точкам.
К слову о дополнениях, IcedID активно поддерживается и обновляется его авторами, несмотря на несколько инструментов удаления. Например, во второй версии вируса был значительно переработан код и IcedID стал модульным, получив возможность забирать плагины по требованию после выполнения базового файла. Это значительно усложнило обнаружение вируса и защиту от него. Хотя принято считать, что этот вирус на 100% состоит из кода, созданного с нуля, некоторые исследователи предполагают, что на самом деле вредоносная программа повторно использует код из версии 2.0 вредоносной программы Pony. По всей видимости, заимствованная функция отвечает за кражу данных из учетных записей электронной почты, хотя код Pony мог использоваться и для других приложений внутри вируса.
К сожалению, постоянные обновления, скорее всего, являются одним из ведущих факторов, способствующих росту популярности этого трояна. Это плохая новость, особенно если учесть, что этот троян уже использует чрезвычайно продвинутые техники, такие как сложные веб-инъекции.
После завершения процесса выполнения IcedID создает локальный прокси-сервер для перехвата и контроля всего веб-трафика зараженного пользователя.
Когда вредоносная программа обнаруживает, что жертва переходит на веб-сайт банка, IcedID может перенаправить пользователя на копию веб-страницы, расположенную на сервере, который контролируется злоумышленниками. Угрожающие субъекты тщательно реконструируют веб-страницу и делают ее максимально удобной для жертвы, постоянно поддерживая активное соединение с настоящим сайтом. Это позволяет IcedID использовать правильный URL в адресной строке и даже отображать легальный SSL-сертификат.
Разумеется, с этого момента каждое действие пользователя записывается, а социальная инженерия используется для получения как можно большего количества учетных данных и административной информации.
Процесс выполнения IcedID
Авторы IcedID постоянно вносят изменения в эту вредоносную программу, поэтому процесс ее выполнения может кардинально отличаться от версии к версии.
Наш пример распространялся в виде вредоносного документа Microsoft Office с макросом. Макрос подбрасывал обфусцированный файл командной строки и запускал его выполнение. Через процесс выполнения командной строки запускался Wscript.exe для загрузки полезной нагрузки, которая, в свою очередь, выполнялась cmd.exe. После начала выполнения полезная нагрузка внедрялась в процесс svchost.exe, который активировал вредоносные действия, такие как кража персональных данных, установление соединения с сервером C2, создание запланированных задач и другие.
Распространение вредоносной программы IcedID
IcedID использует типичный для банковских троянов способ доставки - злоумышленники распространяют его во вредоносных документах Microsoft Office, которые предлагают пользователям включить макросы и, как только это будет сделано, активируют загрузку исполняемого файла на машину жертвы.
Уникальность кампаний по распространению IcedID заключается в тщательном подходе к составлению электронных писем, который используют злоумышленники. В то время как большинство типов вредоносных программ, использующих почтовые кампании в качестве основного канала распространения, нацелены на максимально широкую аудиторию, авторы IcedID предпочитают работать с гораздо более узкими целевыми группами и разрабатывают каждое письмо с большим количеством деталей, чем обычно принято в отрасли.
Хотя любое письмо с вредоносным вложением призвано ослабить вашу бдительность и заставить вас скачать и открыть файл, обычно злоумышленники выбирают очень общие темы без какой-либо персонализации.
Авторы IcedID используют технику spear-phishing, то есть узнают подробности о своих жертвах и используют их для повышения эффективности своих писем. Если последнее письмо с IcedID адресовано автодилеру из Аризоны, оно, скорее всего, будет содержать информацию об автосалоне в Аризоне, ссылки на местные компании или даже коллег жертвы.
Создание таких целевых кампаний требует от хакеров времени на проведение расследований при подготовке каждой пачки писем, но это гарантированно делает сообщения менее похожими на мошенничество и более похожими на законное деловое общение.
Следует отметить, что в некоторых случаях IcedID может заражать систему в тандеме с другими образцами вредоносного ПО. Он может загружать и может быть загружен такими вредоносными программами, как трояны Emotet или TrickBot.
Заключение
Троян IcedID - один из примеров вредоносного ПО нового поколения. Хотя он был создан с нуля его создателями, в нем используется много уникального кода, а его функции не сильно уступают тем, которые встречаются в наиболее продвинутых старых вирусах, таких как Trickbot.
Однако, что делает IcedID потенциально еще более опасным, так это эволюционировавший менталитет его авторов, которые используют spear-phishing для повышения эффективности своих кампаний по распространению.
Раньше мы могли защитить себя от многих угроз с помощью инструментов удаления и повышения осведомленности об опасности подозрительных писем и зараженных документов. С IcedID мы должны больше полагаться на технологические линии защиты, поскольку некоторые шаблоны электронных писем, которые авторы использовали и будут использовать снова, неотличимы от настоящего профессионального общения.