Ein neuer Banking-Trojaner wurde IBM X-Forse Team berichtet - die IcedID Trojan. Laut den Forschern, das Stück entstand in der freien Natur im September letztes Jahr. Dies ist, wenn seine ersten Kampagnen stattfanden. Der Trojaner verfügt über hoch entwickelte Funktionen ähnlich denen, die in Zeus gesehen.
Threat Zusammenfassung
| Name | IcedID Trojan |
| Art | Banking-Trojaner |
| kurze Beschreibung | Infiziert Endpunkte über den Emotet Dropper-Trojaner. |
| Symptome | Die Nutzlast wird in das Verzeichnis% LocalAppData% Ordner geschrieben. |
| Verteilungsmethode | Spam-E-Mails |
| Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen IcedID Trojan. |
IcedID ist modular bösartigen Code und derzeit Targeting Bänke, Kreditkartenanbieter, Mobilfunkanbieter, Lohn-und Gehaltsabrechnung, Webmail und E-Commerce-Sites in den Vereinigten Staaten. Jedoch, das sind nicht die einzigen Ziele als zwei anderen großen U.K.. Bänke werden auch von dem Trojan gewählt.
Die Entwickler der IcedID Trojan hat keinen Code genommen von bekannten Malware verwendet, sondern implementiert vergleichbare Funktionen, die es ermöglichen, erweitert Browser Manipulation Taktik laufen. Was Forscher für dieses Trojan erwarten ist, dass es seine Vorgänger saugen, wie Zeus übertreffen und Dridex. Mit anderen Worten, weitere Aktualisierungen des Code werden in den nächsten Wochen erwartet.
IcedID Banking Trojan: Verteilungsmethoden
Es ist ganz offensichtlich, dass wer auch immer hinter IcedID Trojan-Operationen ist nicht neu in Internet-Kriminalität. Die Erstinfektion Verfahren angewendet wird über den Emotet Trojan.
Emotet ist so konzipiert, ein Benutzer Online-Banking Details zu stehlen. Obwohl es in erster Linie einen Trojaner betrachtet, Emotet enthält auch die notwendige Funktionalität Merkmale als Wurm klassifiziert werden. Das letzte Mal, dass wir aktiv Emotet Angriffe sahen, war im August, 2017 wenn die Malware gewonnen Zugriff auf Systeme durch das Passwort Wörterbuch-Methode.
Аs durch Forscher festgestellt,, Emotet ist eines der High-Profile-Malware-Verteilungsverfahren durchgehend verwendet 2017. Es wurde Cyber-Kriminalität Gruppen aus Osteuropa dienen gesehen, und es wird hinzugefügt jetzt IcedID als seine neueste bösartige Nutzlast.
Emotet selbst erschien zuerst in 2014 nach dem ursprünglichen Quellcode des Bugat Trojan war durchgesickert. Emotet ist persistent auf dem infizierten System, es bringt auch in mehreren Komponenten wie ein Spam-Modul, ein Netzwerkwurm Modul, und Passwort- und Datendiebe für MS Outlook E-Mail und Browser-Aktivität, Forscher erklären.
Emotet wird auch über bösartige Spam und Makros geliefert. der Trojaner kann geräuschlos mehr Malware auf einem System befindet nach der Infektion zu dienen.
IcedID Trojan Netzwerk Propagation Capabilities
Das Netzwerk Ausbreitungsmodul in IcedID gefunden, spricht Bände über seine Autoren Absichten Unternehmen zum Ziel. Die Funktion bedeutet, dass der Trojaner der Lage ist, andere Endpunkte zu springen. Die Forscher auch festgestellt, dass es erfolgreich Bedeutung Terminalserver infiziert, dass Angreifer bereits Mitarbeiter E-Mails gezielt haben Unternehmen Endpunkte zu erreichen.
IcedID Trojan Payload Verteilung
Wie bereits erwähnt, der Trojaner nutzt Emotet als Tropfer für die Erstinfektion. Sobald das System neu gestartet, die Nutzlast wird in das Verzeichnis% LocalAppData% Ordner geschrieben werden.
Dann, der Trojaner seines Persistenzmechanismus durch einen RunKey in der Registrierung zu schaffen seine Präsenz nach weiteren Systemneustarts gesetzt, um sicherzustellen,.
Nächster, IcedID schreibt einen RSA-Kryptoschlüssel zu dem System in die AppData-Ordner. Die Malware kann während der Bereitstellung Routine auf diesen RSA-Schlüssel schreiben, die mit der Tatsache verbunden werden könnte, dass Web-Traffic durch IcedID des Prozess getunnelt wird auch, wie es Kanäle SSL-Datenverkehr. X-Force untersucht noch die genaue Verwendung des RSA-Schlüssels.
Was ist besonderst ist, dass IcedID der Prozess läuft weiter, das ist nicht typisch für jede Malware. Dies könnte bedeuten, dass einige Teile des Codes sind noch festgelegt sind und dass dieses Thema in der nächsten Aktualisierung ändern, Forscher weisen darauf hin,.
Dies ist auch dann, wenn der Bereitstellungsprozess finishe, mit der Dropper weiterhin bis zum nächsten Neustart des infizierten Endpunkts unter dem Explorer-Prozess ausgeführt. Nach dem Neustart, die Nutzlast wird ausgeführt und die IcedID Trojan wird sich auf dem Endpunkt.
Es sollte auch beachtet werden, dass die Malware des Opfers Internet-Verkehr über einen lokalen Proxy umzuleiten, dass sie in der Lage ist, steuern.
Andere schädliche Fähigkeiten der Trojaner hat:
– Tunneln des Web-Verkehr des Opfers
– Auslösen einer Umleitung auf eine gefälschte Bankseite
– Kommunikation über SSL-verschlüsselte
– Mit Hilfe eines Web-basierten Remote-Panel zugänglich mit einem Benutzernamen und Passwort-Kombination
IcedID Trojan Schutz und Prävention
Wir empfehlen, die Überprüfung für IcedID Banking-Trojaner, indem Sie die Anweisungen unter Verwendung von und Scannen des Systems mit einer erweiterten Anti-Malware-Software, was werden Sie auch in der Zukunft als auch mit der Echtzeit-Schirm bleiben geschützt helfen. Obwohl IcedID derzeit Targeting-Organisationen, es gibt mehrere Beispiele für die Verbraucher durch Banking-Trojaner ins Visier.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: