Een nieuwe banking Trojan is gemeld IBM X-Forse team - de IcedID Trojan. Volgens onderzoekers, het stuk naar voren gekomen in het wild in september vorig jaar. Dit is wanneer de eerste campagnes plaatsvonden. De Trojan heeft geavanceerde mogelijkheden vergelijkbaar met die gezien in Zeus.
bedreiging Samenvatting
Naam | IcedID Trojan |
Type | Banking Trojan |
Korte Omschrijving | Infecteert eindpunten via de Emotet Trojan dropper. |
Symptomen | De payload is geschreven naar de map% LocalAppData%. |
Distributie Methode | Spam e-mails |
Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Gebruikerservaring | Word lid van onze Forum om te bespreken IcedID Trojan. |
IcedID heeft een modulaire kwaadaardige code en is momenteel gericht op banken, betaalkaart providers, mobiele service providers, loonlijst, webmail en e-commerce sites in de Verenigde Staten. Echter, dat zijn niet de enige doelen als twee andere belangrijke U.K.. banken zijn ook gekozen door de Trojan.
De ontwikkelaars van de IcedID Trojan heb niet gebruikt code afkomstig van bekende malware, maar in plaats daarvan geïmplementeerd vergelijkbare functies die het mogelijk om geavanceerde browser manipulatie tactiek draaien. Wat onderzoekers verwachten voor deze Trojan is dat het zal overtreffen zijn voorgangers zuigen als Zeus en Dridex. Met andere woorden, verdere updates aan de code worden verwacht in de komende weken.
IcedID Banking Trojan: Distributiemethoden
Het is vrij duidelijk dat degene die achter operaties IcedID Trojan is niet nieuw voor cybercrime. De eerste infectie toegepaste is via de Emotet Trojan.
Emotet is ontworpen om een gebruiker online bankgegevens te stelen. Hoewel het voornamelijk wordt beschouwd als een trojan, Emotet bevat ook de benodigde functionaliteit functies te worden geclassificeerd als een worm. De laatste keer dat we zagen actief Emotet aanslagen werd in augustus, 2017 wanneer de malware toegang gekregen tot systemen met behulp van het wachtwoord woordenboek methode.
Аs opgemerkt door onderzoeker, Emotet is een van de meest high-profile malware distributiemethodes gebruikt gedurende 2017. Het is gezien dat cybercrime groepen dienen uit Oost-Europa, en het heeft nu IcedID toegevoegd als haar nieuwste kwaadaardige payload.
Emotet zelf verscheen voor het eerst in 2014 na de oorspronkelijke broncode van de Bugat Trojan werd gelekt. Emotet is blijvend op het besmette systeem, het brengt ook in meer componenten zoals spam module, een netwerk worm module, en het wachtwoord en de gegevens dieven voor MS Outlook e-mail en browser-activiteit, onderzoeker verklaren.
Emotet wordt ook geleverd via kwaadaardige spam en macro's. Na infectie van de Trojan kan zich op een systeem in stilte om meer malware te dienen.
IcedID Trojan Network propagatie Capabilities
Het netwerk propagatie module gevonden in IcedID spreekt boekdelen over de intenties van de auteurs aan bedrijven richten. De functie houdt in dat de Trojan is in staat om te springen naar andere eindpunten. Onderzoekers hebben ook gemerkt dat het met succes geïnfecteerd terminal servers betekent dat aanvallers al werknemer e-mails naar enterprise eindpunten te bereiken hebben gericht.
IcedID Trojan Payload Distribution
Zoals reeds gezegd, de Trojan gebruikt Emotet als een druppelaar voor de initiële infectie. Zodra het systeem opnieuw wordt opgestart, de lading zal worden geschreven naar de map% LocalAppData%.
Dan, de Trojaanse zal de persistentie mechanisme instellen door het creëren van een RunKey in het register om zijn aanwezigheid na verdere systeem opnieuw op te waarborgen.
Volgende, IcedID schrijft een RSA-crypto-toets om het systeem in de map AppData. De malware kan tijdens de inzet routine te schrijven om dit RSA-sleutel, die kan worden gekoppeld aan het feit dat webverkeer getunneld door de IcedID het proces nog als het kanalen SSL-verkeer. X-Force onderzoekt nog de precieze gebruik van de RSA-sleutel.
Wat is het meest bijzondere is dat IcedID het proces blijft draaien, die niet typisch voor malware. Dit kan betekenen dat sommige delen van de code nog steeds worden bevestigd en dat deze kwestie zal veranderen in de volgende update, onderzoekers wijzen erop.
Dit is ook waar het implementatieproces afgewerk, met de druppelaar blijven draaien onder het Explorer proces tot de volgende herstart van de geïnfecteerde eindpunt. Bij reboot, de lading wordt uitgevoerd en de IcedID Trojan wordt resident op het eindpunt.
Ook moet worden opgemerkt dat de malware is in staat om het omleiden van het slachtoffer internetverkeer via een lokale proxy die ze controleert.
Andere kwaadaardige mogelijkheden van de Trojan heeft:
– Ondertunneling slachtoffer webverkeer
– Wat leidde tot een omleiding naar een nep bank pagina
– Communicatie via versleutelde SSL
– Via een op internet gebaseerde remote panel toegankelijk met een gebruikersnaam en wachtwoord
IcedID Trojan en Preventie
Wij adviseren het controleren op IcedID banking Trojan met behulp van de onderstaande instructies en scannen van het systeem met een geavanceerde anti-malware software, die ook zal helpen bij het blijven beschermd in de toekomst ook met zijn real-time shield. Hoewel IcedID momenteel is gericht op organisaties, er zijn meerdere voorbeelden van de consumenten het doelwit van banking Trojans.