En ny bank Trojan er blevet rapporteret IBM X-Forse hold - den IcedID Trojan. Ifølge forskere, stykket opstod i naturen i september sidste år. Det er, når de første kampagner fandt sted. Den trojanske har avancerede funktioner, der ligner dem, der ses i Zeus.
Trussel Summary
| Navn | IcedID Trojan |
| Type | Banking Trojan |
| Kort beskrivelse | Inficerer endepunkter via Emotet trojanske dropper. |
| Symptomer | Nyttelasten skrives til% LocalAppData% mappe. |
| Distributionsmetode | Spam e-mails |
| Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
Brugererfaring | Tilmeld dig vores forum at diskutere IcedID Trojan. |
IcedID har en modulær ondsindet kode og er i øjeblikket rettet mod banker, betalingskort udbydere, udbydere af mobiltjenester, lønningsliste, webmail og e-handels-websteder i USA. Men, de er ikke de eneste mål som to andre store U.K. banker er også blevet valgt af den trojanske.
Udviklerne af den IcedID Trojan har ikke brugt kode taget fra kendte malware, men i stedet implementeret sammenlignelige funktioner, der gør det muligt at køre avancerede browser manipulation taktik. Hvad forskerne forvente for denne trojanske er, at det vil overgå sine forgængere sutter som Zeus og Dridex. Med andre ord, yderligere opdateringer til sin kode ventes i de kommende uger.
IcedID Banking Trojan: Distributionsmetoder
Det er helt indlysende, at uanset hvem der er bag IcedID Trojan aktiviteter er ikke nyt for cyberkriminalitet. Den første infektion anvendte metode er via Emotet Trojan.
Emotet er designet til at stjæle en brugers netbank detaljer. Selvom det overvejende betragtes som en trojan, Emotet indeholder også de nødvendige funktionalitet funktioner til at blive klassificeret som en orm. Sidste gang vi så aktive Emotet angreb var i august, 2017 når malware fået adgang til systemer ved hjælp af kodeord ordbogen metode.
Аs bemærket af forsker, Emotet er en af de mest høj-profil malware distributionsmetoden hele 2017. Det er blevet set at tjene cyberkriminalitet grupper fra Østeuropa, og det har nu tilføjet IcedID som sin seneste ondsindet nyttelast.
Emotet selv først dukkede op i 2014 efter den oprindelige kildekode Bugat Trojan blev lækket. Emotet er vedholdende på det inficerede system, det også bringer i flere komponenter som en spam-modul, et netværk orm modul, og adgangskode og data stealers for MS Outlook e-mail og browser aktivitet, forsker forklare.
Emotet også leveret via ondsindet spam og makroer. Efter infektion den trojanske kan være placeret på et system tavst at tjene mere malware.
IcedID Trojan Network Formering Capabilities
Netværket formering modul findes i IcedID siger meget om dens forfatteres intentioner om at målrette virksomheder. Funktionen betyder, at den trojanske er i stand til at springe til andre endpoints. Forskere også bemærket, at det med succes inficeret terminal servere betyder, at angriberne allerede har målrettet medarbejder emails at nå virksomhedens endpoints.
IcedID Trojan Payload Distribution
Som allerede nævnt, den trojanske bruger Emotet som en pipette for den indledende infektion. Når systemet genstartes, nyttelasten vil blive skrevet til% LocalAppData% mappe.
Derefter, den trojanske vil sætte dets persistens mekanisme ved at skabe en RunKey i register for at sikre sin tilstedeværelse efter yderligere genstarter systemet.
Næste, IcedID skriver en RSA krypteringnøgle til systemet i mappen AppData. Den malware kan skrive til denne RSA-nøgle under indsættelsen rutine, hvilket kunne hænge sammen med det faktum, at web-trafik er tunneleret gennem IcedID proces selv som det kanaler SSL-trafik. X-Force undersøger stadig den præcise anvendelse af RSA-nøgle.
Hvad er mest ejendommelige er, at IcedID proces fortsætter med at køre, der ikke er typiske for enhver malware. Dette kan betyde, at nogle dele af koden stadig er ved at blive fast og at dette spørgsmål vil ændre sig i den næste opdatering, Forskerne påpeger.
Det er også her implementeringsprocessen finishe, med spidsen af flasken fortsætter med at køre under Explorer processen indtil næste genstart af den inficerede endepunkt. Ved genstart, nyttelasten udføres og IcedID Trojan bliver bosat på endpoint.
Det skal også bemærkes, at malware er i stand til at omdirigere offerets internet trafik gennem en lokal proxy, at det styrer.
Andre ondsindede funktioner den trojanske har:
– Tunneling ofrets webtrafik
– Udløsning en omdirigering til en falsk bank side
– Kommunikation via krypteret SSL
– Ved hjælp af en web-baseret fjernbetjening panel tilgængelige med et brugernavn og adgangskode kombination
IcedID Trojan Beskyttelse og Forebyggelse
Vi anbefaler at kontrollere for IcedID bank Trojan ved hjælp af instruktionerne nedenfor og scanning af systemet med en avanceret anti-malware-software, som også vil hjælpe dig med at være beskyttet i fremtiden, samt med sin realtid skjold. Selvom IcedID øjeblikket rettet mod organisationer, der er flere eksempler på, at forbrugerne er omfattet af bank-trojanere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: