Un nuovo Trojan bancario è stato riportato team IBM X-Forse - il IcedID Trojan. Secondo i ricercatori, il pezzo è emerso in natura nel settembre dello scorso anno. Questo è quando le sue prime campagne hanno avuto luogo. Il Trojan ha capacità sofisticate simili a quelli visti in Zeus.
Sommario minaccia
| Nome | IcedID Trojan |
| Tipo | Trojan bancario |
| breve descrizione | Infetta endpoint tramite il contagocce Emotet Trojan. |
| Sintomi | Il carico utile viene scritto nella cartella% LocalAppData%. |
| Metodo di distribuzione | Email spam |
| Detection Tool |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Esperienza utente | Iscriviti alla nostra Forum per discutere IcedID Trojan. |
IcedID ha un codice maligno modulare ed è attualmente di mira banche, fornitori di carte di pagamento, fornitori di servizi mobili, libro paga, siti di webmail e di e-commerce negli Stati Uniti. Tuttavia, quelli non sono i soli bersagli come altri due importanti U.K. le banche sono stati scelti dal Trojan.
Gli sviluppatori del IcedID Trojan non hanno utilizzato codice preso dal malware noti ma invece attuato caratteristiche comparabili che gli permettono di eseguire avanzate tattiche di manipolazione del browser. Ciò che i ricercatori si aspettano di questo Trojan è che supererà i suoi predecessori succhiano come Zeus e Dridex. In altre parole, ulteriori aggiornamenti al suo codice sono attesi nelle prossime settimane.
IcedID Banking Trojan: Metodi di distribuzione
E 'abbastanza ovvio che chi è dietro le operazioni di IcedID Trojan non è una novità per il crimine informatico. Il metodo di infezione iniziale applicato è tramite l'Emotet Trojan.
Emotet è progettato per rubare dati bancari on-line di un utente. Anche se è prevalentemente considerato un trojan, Emotet contiene anche le caratteristiche di funzionalità necessarie per essere classificate come un verme. L'ultima volta che abbiamo visto attacchi Emotet attivi è stato nel mese di agosto, 2017 quando il malware ha ottenuto l'accesso ai sistemi utilizzando il metodo dizionario della password.
Аs notato da ricercatore, Emotet è uno dei metodi di distribuzione di malware più alto profilo utilizzati in tutto 2017. Si è visto per servire gruppi di criminalità informatica dall'Europa dell'Est, e ora si è aggiunto IcedID come il suo ultimo payload maligno.
Emotet sé la prima volta nel 2014 dopo il codice sorgente originale del Bugat Trojan è trapelata. Emotet è persistente sul sistema infetto, porta anche a più componenti come un modulo spamming, un modulo di rete a vite senza fine, e ladri di password e dati per la posta elettronica MS Outlook e l'attività del browser, ricercatore spiegare.
Emotet viene anche distribuito mediante lo spam dannoso e macro. Dopo l'infezione il Trojan può risiedere su un sistema in silenzio per servire più malware.
Funzionalità di propagazione IcedID Trojan rete
Il modulo di rete di propagazione si trovano in IcedID la dice lunga sulle intenzioni dei suoi autori per indirizzare le aziende. La caratteristica significa che il Trojan è in grado di passare ad altri endpoint. I ricercatori hanno anche notato che infettato con successo terminal server che significa che gli aggressori hanno già mirati messaggi di posta elettronica dei dipendenti per raggiungere endpoint aziendali.
IcedID Trojan Payload Distribution
Come già accennato, il Trojan utilizza Emotet come un contagocce per l'infezione iniziale. Una volta che il sistema viene riavviato, il carico utile sarà scritto nella cartella% LocalAppData%.
Poi, il Trojan impostare il suo meccanismo di persistenza creando un RunKey nel registro per assicurare la sua presenza dopo ulteriori riavvio del sistema.
Il Prossimo, IcedID scrive una chiave di crittografia RSA al sistema nella cartella AppData. Il malware può scrivere in questa chiave RSA durante la routine di distribuzione, che potrebbe essere legato al fatto che il traffico web è incanalato attraverso il processo di IcedID proprio mentre i canali del traffico SSL. X-Force sta ancora indagando l'uso esatto della chiave RSA.
La cosa più singolare è quel processo di IcedID continua a correre, che non è tipico per qualsiasi malware. Questo potrebbe significare che alcune parti del codice sono ancora fissate e che la questione cambierà nel prossimo aggiornamento, ricercatori sottolineano.
Questo è anche dove il processo di distribuzione finishe, con il contagocce continua per l'esecuzione con il processo di Explorer fino al successivo riavvio del endpoint infetti. Al riavvio, il carico utile viene eseguito e l'IcedID Trojan diventa residente sull'endpoint.
E 'anche da notare che il malware è in grado di reindirizzare il traffico Internet della vittima attraverso un proxy locale che controlla.
Altre funzionalità malevoli Trojan ha:
– Tunneling del traffico web della vittima
– Innescando un reindirizzamento ad una pagina falsa banca
– Le comunicazioni su SSL criptato
– Utilizzando un pannello remoto basato sul web accessibile con una combinazione di nome utente e password
IcedID Trojan Protezione e Prevenzione
Si consiglia di controllare per IcedID Trojan bancario utilizzando le istruzioni qui sotto e la scansione del sistema con un software avanzato anti-malware, che aiuterà anche a rimanere protetti in futuro come pure con il suo scudo in tempo reale. Anche se IcedID è attualmente di mira le organizzazioni, ci sono molteplici esempi di consumatori nel mirino di Trojan bancari.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: