新しいバンキング型トロイの木馬がIBMX-Forseチームに報告されました– IcedIDトロイの木馬. 研究者によると, この作品は昨年9月に野生で登場しました. これは、最初のキャンペーンが行われたときです. このトロイの木馬は、Zeusに見られるものと同様の高度な機能を備えています.
脅威の概要
名前 | IcedIDトロイの木馬 |
タイプ | バンキング型トロイの木馬 |
簡単な説明 | Emotetトロイの木馬ドロッパーを介してエンドポイントに感染します. |
症状 | ペイロードは%LocalAppData%フォルダーに書き込まれます. |
配布方法 | スパムメール |
検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
ユーザー体験 | フォーラムに参加する IcedIDトロイの木馬について話し合う. |
IcedIDにはモジュール式の悪意のあるコードがあり、現在銀行を標的にしています, ペイメントカードプロバイダー, モバイルサービスプロバイダー, 給与, 米国のウェブメールおよびeコマースサイト. でも, 他の2つの主要な英国のようにそれらだけがターゲットではありません. 銀行もトロイの木馬によって選ばれました.
の開発者 IcedIDトロイの木馬 既知のマルウェアから取得したコードを使用していませんが、代わりに、高度なブラウザ操作戦術を実行できるようにする同等の機能を実装しています. 研究者がこのトロイの木馬に期待しているのは、ZeusとDridexのように、前任者が吸うものを超えることです。. 言い換えると, 今後数週間で、コードがさらに更新される予定です。.
IcedIDバンキング型トロイの木馬: 配布方法
IcedIDトロイの木馬の操作の背後にいる人は誰でもサイバー犯罪に不慣れではないことは非常に明白です. 適用される最初の感染方法は、Emotetトロイの木馬を介したものです.
Emotetは、ユーザーのオンラインバンキングの詳細を盗むように設計されています. これは主にトロイの木馬と見なされますが, Emotetには、ワームとして分類されるために必要な機能機能も含まれています. Emotetのアクティブな攻撃を最後に見たのは8月でした, 2017 マルウェアがパスワード辞書方式を使用してシステムにアクセスしたとき.
研究者が指摘した, Emotetは、全体で使用されている最も注目を集めるマルウェア配布方法の1つです。 2017. 東ヨーロッパのサイバー犯罪グループにサービスを提供していることが確認されています, そして、最新の悪意のあるペイロードとしてIcedIDを追加しました.
Emotet自体が最初に登場したのは 2014 Bugatトロイの木馬の元のソースコードが漏洩した後. Emotetは感染したシステムで永続的です, また、スパムモジュールなどのコンポーネントも追加されます, ネットワークワームモジュール, MSOutlookの電子メールとブラウザのアクティビティ用のパスワードとデータスティーラー, 研究者が説明する.
Emotetは、悪意のあるスパムやマクロを介して配信されます. 感染後、トロイの木馬はシステム上にサイレントに常駐して、より多くのマルウェアにサービスを提供できます.
IcedIDトロイの木馬ネットワーク伝播機能
IcedIDにあるネットワーク伝播モジュールは、企業をターゲットにするその作者の意図について多くを語っています. この機能は、トロイの木馬が他のエンドポイントにジャンプできることを意味します. 研究者はまた、ターミナルサーバーへの感染に成功したことにも気づきました。これは、攻撃者がすでに従業員の電子メールを標的にして企業のエンドポイントに到達していることを意味します。.
IcedIDトロイの木馬のペイロード分散
すでに述べたように, トロイの木馬は、最初の感染のスポイトとしてEmotetを使用します. システムが再起動されたら, ペイロードは%LocalAppData%フォルダーに書き込まれます.
それで, トロイの木馬は、レジストリにRunKeyを作成して永続性メカニズムを設定し、システムをさらに再起動した後にその存在を確認します。.
次, IcedIDは、RSA暗号鍵をシステムにAppDataフォルダーに書き込みます. マルウェアは、展開ルーチン中にこのRSAキーに書き込む可能性があります, これは、SSLトラフィックをチャネルしている場合でもWebトラフィックがIcedIDのプロセスを介してトンネリングされるという事実に関連している可能性があります. X-Forceは、RSAキーの正確な使用法をまだ調査中です.
最も特徴的なのは、IcedIDのプロセスが引き続き実行されることです。, これはマルウェアには一般的ではありません. これは、コードの一部がまだ修正中であり、この問題が次のアップデートで変更されることを意味する可能性があります, 研究者は指摘する.
これは、展開プロセスが終了する場所でもあります, ドロッパーは、感染したエンドポイントが次に再起動するまで、Explorerプロセスで実行され続けます。. 再起動時に, ペイロードが実行され、IcedIDトロイの木馬がエンドポイントに常駐します.
また、マルウェアは、制御するローカルプロキシを介して被害者のインターネットトラフィックをリダイレクトできることにも注意してください。.
トロイの木馬が持つその他の悪意のある機能:
– 被害者のWebトラフィックをトンネリングする
– 偽の銀行ページへのリダイレクトをトリガーする
– 暗号化されたSSLを介した通信
– ユーザー名とパスワードの組み合わせでアクセス可能なWebベースのリモートパネルを使用する
IcedIDトロイの木馬の保護と防止
以下の手順を使用し、高度なマルウェア対策ソフトウェアでシステムをスキャンして、IcedIDバンキング型トロイの木馬を確認することをお勧めします。, また、リアルタイムシールドにより、将来的にも保護された状態を維持するのに役立ちます. IcedIDは現在組織を対象としていますが, バンキング型トロイの木馬の標的となっている消費者の例は複数あります.