Νέα παραλλαγή διανέμεται μέσω spam emails
Μια νέα παραλλαγή του
IcedID
Banking Trojan
διανέμεται μέσω
δύο νέων spam εκστρατειών
.
Τα spam
μηνύματα
είναι γραμμένα στα αγγλικά και παραδίδουν
αρχεία
.ZIP
με κακόβουλο λογισμικό ή συνδέσμους που οδηγούν σε τέτοια
αρχεία
ZIP.
Δείτε επίσης
: Bizarro
banking trojan
: Στοχεύει πελάτες τραπεζών σε
Ευρώπη
και
Αμερική
Ερευνητές της
Kaspersky
δήλωσαν ότι παρακολούθησαν τις spam
εκστρατείες
στα μέσα Μαρτίου. Τα περισσότερα από τα payloads που συνέλεξαν οι ερευνητές ήταν το
IcedID
(Trojan-Banker.Win32.IcedID), αλλά και μερικά δείγματα του
banking trojan
Qbot
(Backdoor.Win32.Qbot, γνωστός και ως QakBot).
Το ίδιο μοτίβο (IcedID και Qbot) είχε παρατηρηθεί και σε μια άλλη spam εκστρατεία τον Απρίλιο. Τότε φαινόταν ότι το IcedID ερχόταν να καλύψει το κενό του Emotet, το οποίο είχαν “καταστρέψει” οι αρχές τον Ιανουάριο. Το IcedID δεν λειτουργεί μόνο σαν
banking trojan
, αλλά χρησιμοποιείται και ως
dropper για άλλα κακόβουλα προγράμματα.
Δείτε επίσης
: Το QBot trojan αντικαθιστά το IcedID σε malspam
εκστρατείες
!
Το IcedID (γνωστό και ως BokBot) είναι παρόμοιο με το Emotet καθώς και τα δύο είναι modular malware, που “ξεκίνησαν τη ζωή” τους ως
banking trojan
και χρησιμοποιούνταν αρχικά για την
κλοπή οικονομικών στοιχείων.
Όπως σημείωσαν οι ερευνητές της Kaspersky, τώρα το IcedID μπορεί επίσης να εντοπίσει virtual machines (VM), κάτι που είναι πολύ χρήσιμο για τους
εγκληματίες
.
Η νέα παραλλαγή του IcedID
banking trojan
έχει επίσης εξοπλιστεί με ένα νέο
downloader
.
Όπως λένε οι ερευνητές, το IcedID έχει
δύο μέρη: ένα downloader και ένα main body
. Το downloader
αποστέλλει πληροφορίες χρήστη
(όνομα χρήστη, διεύθυνση MAC και έκδοση Windows)
στον C2 server
και, με τη σειρά του, λαμβάνει το main body του κακόβουλου λογισμικού.
Δείτε επίσης
: Janeleiro: Το νέο
banking trojan
που στοχεύει οργανισμούς και
κυβερνήσεις
Σε προηγούμενες εκδόσεις του IcedID, το downloader είχε δημιουργηθεί ως x86 εκτελέσιμο. Στη
νέα έκδοση
, οι
εγκληματίες
μετακινήθηκαν από το x86 σε μια έκδοση x86-64.
Επίσης, οι δημιουργοί της τελευταίας παραλλαγής IcedID τροποποίησαν το βασικό τμήμα του κακόβουλου λογισμικού. Παλιότερα, το main body ήταν ένα shellcode κρυμμένο σε μια εικόνα .PNG. “
Το downloader παίρνει την εικόνα, αποκρυπτογραφεί το main body στη μνήμη και το εκτελεί
“, αναφέρουν οι ερευνητές. “
Το main body αρχίζει να
εκτελεί τις κακόβουλες ενέργειές του, όπως web injects, εξαγωγή δεδομένων στο C2, λήψη και εκτέλεση πρόσθετων payloads,
κλοπή πληροφοριών
του συστήματος και πολλά άλλα
“, δήλωσαν.
Διανέμεται ακόμα και ως εικόνα .PNG. Αλλά αυτή τη φορά, οι δημιουργοί αποφάσισαν να μην χρησιμοποιήσουν shellcode. Τώρα το main body του IcedID διανέμεται ως “
ένα standard [PE ή Portable Executable] file
“.
Από την άλλη, το Qbot δεν έχει δύο μέρη. Είναι ένα single executable.
“
Για να κλέψει κωδικούς πρόσβασης, να πραγματοποιήσει web injects και να πάρει τον έλεγχο του μολυσμένου συστήματος απομακρυσμένα, το Qbot κατεβάζει πρόσθετα modules: Web inject module, hVNC (remote control module),
εργαλείο
συλλογής email και password και άλλα
“, λένε οι ερευνητές.
Οι δύο spam
εκστρατείες
που διανέμουν το IcedID
Banking Trojan
Εκστρατεία 1: DotDat
Οι ερευνητές ονόμασαν την πρώτη εκστρατεία “
DotDat
“. Τα spam
μηνύματα
περιέχουν
συνημμένα .ZIP, τα οποία με τη σειρά τους περιέχουν ένα κακόβουλο excel αρχείο
με το ίδιο όνομα.
Το αρχείο Excel κατεβάζει ένα
κακόβουλο payload
μέσω μιας μακροεντολής από μια διεύθυνση URL με τη μορφή [host] / [ψηφία]. [Ψηφία] .dat και στη συνέχεια εκτελεί το payload. Το payload που παραδίδει είναι είτε το
IcedID downloader – Trojan.Win32.Ligooc – είτε το Qbot.
Το αρχείο Excel περιέχει obfuscated Excel 4.0 macro formulas για λήψη και εκτέλεση του payload. Η μακροεντολή δημιουργεί ένα payload URL και χρησιμοποιεί το WinAPI function “URLDownloadToFile” για λήψη του κακόβουλου λογισμικού.
Εκστρατεία 2: “summer.gif
“
Στη δεύτερη εκστρατεία, οι ερευνητές εντόπισαν spam emails που περιείχαν
συνδέσμους προς hacked websites με κακόβουλα
αρχεία
με το όνομα “documents.zip”, “document-XX.zip” και “doc-XX.zip”, όπου το XX αντιπροσωπεύει δύο τυχαία ψηφία. Όπως και στην εκστρατεία DotDat, τα Zip
αρχεία
περιείχαν ένα αρχείο Excel με μια μακροεντολή που έκανε λήψη του IcedID downloader. Η συγκεκριμένη εκστρατεία κορυφώθηκε στα μέσα Μαρτίου και μέχρι τον Απρίλιο είχε σχεδόν εξαφανιστεί.
IcedID
banking
trojan
Οι spam
εκστρατείες
διανομής των IcedID και Qbot έχουν στοχεύσει κυρίως
Κινέζους
χρήστες
(16%). Ακολουθούν
χρήστες
στην Ινδία (12%), την Ιταλία (11%), τις ΗΠΑ (11%) και τη
Γερμανία
(9%).
Πηγή: Threatpost
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Νέα παραλλαγή διανέμεται μέσω spam emails | O Efialtis
[…] εδώ Νέα παραλλαγή δια&n… για να διαβάσετε […]