Ngày 28 tháng 3 năm 2023Ravie LakshmananRansomware / bảo mật điểm cuối
Nhiều tác nhân đe dọa đã được quan sát bằng cách sử dụng hai biến thể mới của phần mềm độc hại IcedID trong tự nhiên với chức năng hạn chế hơn nhằm loại bỏ chức năng liên quan đến gian lận ngân hàng trực tuyến.
IcedID, còn được gọi là BokBot, khởi đầu là một trojan ngân hàng vào năm 2017. Nó cũng có khả năng cung cấp thêm phần mềm độc hại, bao gồm cả phần mềm tống tiền.
“Phiên bản IcedID nổi tiếng bao gồm một trình tải ban đầu liên hệ với Trình tải [command-and-control] tải xuống Trình tải DLL tiêu chuẩn, sau đó cung cấp IcedID Bot tiêu chuẩn,” Proofpoint cho biết trong một báo cáo mới được công bố hôm thứ Hai.
Một trong những phiên bản mới là biến thể Lite trước đây được đánh dấu là bị phần mềm độc hại Emotet loại bỏ dưới dạng tải trọng tiếp theo vào tháng 11 năm 2022. Cũng mới được phát hiện vào tháng 2 năm 2023 là một biến thể Forked của IcedID.
Công ty bảo mật doanh nghiệp lưu ý rằng cả hai biến thể này đều được thiết kế để loại bỏ cái được gọi là phiên bản Forked của IcedID Bot, loại bỏ chức năng tiêm web và kết nối ngược thường được sử dụng để lừa đảo ngân hàng.
“Có khả năng một nhóm các tác nhân đe dọa đang sử dụng các biến thể đã sửa đổi để xoay phần mềm độc hại khỏi trojan ngân hàng thông thường và hoạt động gian lận ngân hàng để tập trung vào phân phối tải trọng, có khả năng bao gồm ưu tiên phân phối ransomware,” Proofpoint lưu ý.
Chiến dịch tháng 2 đã được gắn với một nhóm mới có tên là TA581, với kẻ đe dọa phân phối biến thể Forked bằng cách sử dụng các tệp đính kèm Microsoft OneNote được vũ khí hóa. Một phần mềm độc hại khác được TA581 sử dụng là trình tải Bumblebee.
Nói chung, biến thể Forked IcedID đã được sử dụng trong bảy chiến dịch khác nhau cho đến nay, một số trong số đó đã được thực hiện bởi các nhà môi giới truy cập ban đầu (IAB).
Việc sử dụng các phần mềm lây nhiễm Emotet hiện có để cung cấp biến thể Lite đã làm tăng khả năng hợp tác tiềm năng giữa các nhà phát triển Emotet và nhà điều hành IcedID.
Các nhà nghiên cứu cho biết: “Mặc dù trong lịch sử, chức năng chính của IcedID là trojan ngân hàng, nhưng việc loại bỏ chức năng ngân hàng phù hợp với bối cảnh chung là chuyển hướng khỏi phần mềm độc hại ngân hàng và ngày càng tập trung vào việc trở thành trình tải cho các lần lây nhiễm tiếp theo, bao gồm cả ransomware,” các nhà nghiên cứu cho biết.
