Un nouveau cheval de Troie bancaire a été signalé équipe IBM X-Forse - la IcedID cheval de Troie. Selon les chercheurs, la pièce a émergé dans la nature en Septembre l'année dernière. C'est alors ses premières campagnes ont eu lieu. Le cheval de Troie a des capacités sophistiquées similaires à ceux vus dans Zeus.
Menace Résumé
Nom | IcedID cheval de Troie |
Type | Chevaux de Troie bancaires |
brève description | Infects extrémités via le compte-gouttes Emotet cheval de Troie. |
Symptômes | La charge utile est écrit dans le dossier% LocalAppData% de. |
Méthode de distribution | spams |
Detection Tool |
Voir si votre système a été affecté par des logiciels malveillants
Télécharger
Malware Removal Tool
|
Expérience utilisateur | Rejoignez notre Forum pour discuter IcedID cheval de Troie. |
IcedID a un code malveillant modulaire et vise actuellement les banques, les fournisseurs de cartes de paiement, les fournisseurs de services mobiles, paie, les webmails et commerce électronique aux États-Unis. Cependant, ce ne sont pas les seules cibles que deux autres grands U.K. Les banques ont également été choisis par le cheval de Troie.
Les développeurs de la IcedID cheval de Troie ont pas de code utilisé pris de logiciels malveillants connus mais mis en œuvre des fonctionnalités comparables qui lui permettent d'exécuter des tactiques avancées de manipulation du navigateur. Ce que les chercheurs attendent pour ce cheval de Troie est qu'il dépassera ses prédécesseurs sucent comme Zeus et Dridex. En d'autres termes, d'autres mises à jour de son code sont attendus dans les semaines à venir.
IcedID Banque cheval de Troie: méthodes de distribution
Il est tout à fait évident que celui qui se cache derrière les opérations de IcedID cheval de Troie est pas nouveau à la cybercriminalité. La méthode initiale de l'infection appliquée est via le cheval de Troie Emotet.
Emotet est conçu pour voler les détails bancaires en ligne d'un utilisateur. Bien qu'il soit considéré comme essentiellement un cheval de Troie, Emotet contient également les caractéristiques de fonctionnalité nécessaires pour être classés comme un ver. La dernière fois que nous avons vu des attaques de Emotet actifs était en Août, 2017 lorsque le logiciel malveillant a obtenu l'accès aux systèmes en utilisant la méthode de dictionnaire de mot de passe.
Аs a fait remarquer le chercheur, Emotet est l'une des méthodes de distribution de logiciels malveillants les plus haut profil utilisés dans 2017. Il a été vu pour servir des groupes de lutte contre la cybercriminalité d'Europe orientale, et il a maintenant ajouté IcedID comme sa dernière charge utile malveillante.
Emotet lui-même d'abord paru dans 2014 après le code source d'origine du cheval de Troie Bugat a été divulgué. Emotet est persistant sur le système infecté, il apporte également plusieurs composants comme un module de spamming, un module de ver de réseau, et mot de passe et données pour le courrier électronique stealers MS Outlook et l'activité du navigateur, chercheur expliquer.
Emotet est également livré via le spam malveillant et macros. Après l'infection, le cheval de Troie peut résider sur un système silencieux pour servir plus de logiciels malveillants.
IcedID réseau Troie Capacités de propagation
Le module de propagation réseau trouvé dans IcedID en dit long sur les intentions de ses auteurs pour cibler les entreprises. La fonctionnalité signifie que le cheval de Troie est capable de sauter à d'autres critères d'évaluation. Les chercheurs ont également remarqué que les serveurs de terminaux infectés avec succès ce qui signifie que les attaquants ont déjà ciblé les courriels des employés pour atteindre critères d'évaluation d'entreprise.
IcedID cheval de Troie Payload distribution
Comme déjà mentionné, le cheval de Troie utilise Emotet comme un compte-gouttes pour l'infection initiale. Une fois que le système est redémarré, la charge utile sera écrit dans le dossier% LocalAppData% de.
Puis, le cheval de Troie établira son mécanisme de persistance en créant un RunKey dans le registre afin d'assurer sa présence après d'autres redémarrages du système.
Suivant, IcedID écrit une clé de chiffrement RSA au système dans le dossier AppData. Le logiciel malveillant peut écrire à cette clé RSA lors de la procédure de déploiement, qui pourrait être lié au fait que le trafic web est effectuée au travers du processus de IcedID même il canalise le trafic SSL. X-Force étudie encore l'utilisation exacte de la clé RSA.
Ce qui est plus étrange est que le processus de IcedID continue de fonctionner, qui n'est pas typique pour tous les logiciels malveillants. Cela pourrait signifier que certaines parties du code sont toujours fixes et que cette question va changer dans la prochaine mise à jour, chercheurs soulignent.
Ceci est également lorsque le processus de déploiement finishe, avec le compte-gouttes en continuant à exécuter dans le cadre du processus Explorateur jusqu'à ce que le prochain redémarrage du terminal infecté. Lors du redémarrage, la charge utile est exécutée et le cheval de Troie IcedID devient résident sur le point de terminaison.
Il convient de noter également que le malware est capable de rediriger le trafic Internet de la victime par un proxy local qu'il contrôle.
D'autres capacités malicieuses le cheval de Troie:
– Tunneling trafic web de la victime
– Déclenchement une redirection vers une page de banque faux
– Communications via SSL crypté
– L'utilisation d'un panneau à distance en ligne accessible avec une combinaison de nom d'utilisateur et mot de passe
Protection IcedID cheval de Troie et la prévention
Nous vous conseillons de vérifier pour Trojan bancaire IcedID en suivant les instructions ci-dessous et l'analyse du système avec un logiciel anti-malware avancée, qui sera également vous aider à rester protégé à l'avenir aussi bien avec son bouclier en temps réel. Même si IcedID vise actuellement les organisations, il y a plusieurs exemples de consommateurs ciblés par les chevaux de Troie bancaires.