Um novo cavalo de Tróia bancário foi relatado pela equipe IBM X-Forse - o Trojan IcedID. De acordo com pesquisadores, a peça surgiu na natureza em setembro do ano passado. Foi quando suas primeiras campanhas aconteceram. O Trojan tem recursos sofisticados semelhantes aos vistos no Zeus.
Resumo ameaça
| Nome | Trojan IcedID |
| Tipo | Banking Trojan |
| Pequena descrição | Infecta endpoints por meio do dropper de Trojan Emotet. |
| Os sintomas | A carga útil é gravada na pasta% LocalAppData%. |
| distribuição Método | Os e-mails de spam |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
Experiência de usuário | Participe do nosso Fórum para discutir o cavalo de Troia IcedID. |
O IcedID tem um código malicioso modular e atualmente tem como alvo os bancos, provedores de cartão de pagamento, provedores de serviços móveis, folha de pagamento, sites de webmail e comércio eletrônico nos Estados Unidos. Contudo, esses não são os únicos alvos, pois outros dois importantes. bancos também foram escolhidos pelo Trojan.
Os desenvolvedores do Trojan IcedID não usou código retirado de malware conhecido, mas em vez disso implementou recursos comparáveis que permitem executar táticas avançadas de manipulação de navegador. O que os pesquisadores esperam desse Trojan é que ele supere seus antecessores, como Zeus e Dridex. Em outras palavras, mais atualizações em seu código são esperadas nas próximas semanas.
Cavalo de Tróia IcedID Banking: Métodos de distribuição
É bastante óbvio que quem está por trás das operações do cavalo de Troia IcedID não é novo no crime cibernético. O método de infecção inicial aplicado é através do Trojan Emotet.
O Emotet foi projetado para roubar os dados bancários online de um usuário. Embora seja predominantemente considerado um trojan, Emotet também contém a funcionalidade necessária características para ser classificado como um verme. A última vez que vimos ataques ativos de Emotet foi em agosto, 2017 quando o malware obteve acesso aos sistemas usando o método de dicionário de senha.
Аs anotado pelo pesquisador, Emotet é um dos métodos de distribuição de malware mais conhecidos usados em todo 2017. Foi visto como servindo a grupos de crimes cibernéticos da Europa Oriental, e agora adicionou IcedID como sua carga maliciosa mais recente.
O próprio Emotet apareceu pela primeira vez em 2014 depois que o código-fonte original do Bugat Trojan vazou. Emotet é persistente no sistema infectado, ele também traz mais componentes, como um módulo de spam, um módulo de worm de rede, e ladrões de senhas e dados para atividades de e-mail e navegador do MS Outlook, pesquisador explica.
O Emotet também é entregue por meio de macros e spam maliciosos. Após a infecção, o Trojan pode residir em um sistema silenciosamente para servir a mais malware.
Recursos de propagação de rede de cavalo de Troia IcedID
O módulo de propagação de rede encontrado no IcedID fala muito sobre as intenções de seus autores para empresas-alvo. O recurso significa que o Trojan é capaz de pular para outros terminais. Os pesquisadores também notaram que ele infectou com sucesso os servidores de terminal, o que significa que os invasores já direcionaram os e-mails dos funcionários para chegar aos terminais corporativos.
Distribuição de carga útil de cavalo de Troia IcedID
Como já mencionado, o Trojan usa Emotet como um conta-gotas para a infecção inicial. Assim que o sistema for reiniciado, a carga útil será gravada na pasta% LocalAppData%.
Então, o Trojan definirá seu mecanismo de persistência criando um RunKey no registro para garantir sua presença após novas reinicializações do sistema.
Próximo, IcedID grava uma chave de criptografia RSA para o sistema na pasta AppData. O malware pode gravar nesta chave RSA durante a rotina de implantação, que pode estar relacionado ao fato de que o tráfego da web é encapsulado pelo processo do IcedID, mesmo quando canaliza o tráfego SSL. O X-Force ainda está investigando o uso exato da chave RSA.
O que é mais peculiar é que o processo do IcedID continua a funcionar, o que não é típico de nenhum malware. Isso pode significar que algumas partes do código ainda estão sendo corrigidas e que esse problema mudará na próxima atualização, pesquisadores apontam.
É aqui também que o processo de implantação termina, com o conta-gotas continuando a ser executado no processo Explorer até a próxima reinicialização do endpoint infectado. Após reiniciar, a carga é executada e o cavalo de Tróia IcedID torna-se residente no endpoint.
Também deve ser observado que o malware é capaz de redirecionar o tráfego de Internet da vítima por meio de um proxy local que ele controla.
Outros recursos maliciosos que o Trojan possui:
– Tunelando o tráfego da web da vítima
– Acionar um redirecionamento para uma página falsa de um banco
– Comunicações por SSL criptografado
– Usando um painel remoto baseado na web acessível com uma combinação de nome de usuário e senha
Proteção e prevenção do cavalo de Troia IcedID
Aconselhamos a verificação de Trojan bancário IcedID usando as instruções abaixo e verificando o sistema com um software anti-malware avançado, que também o ajudará a ficar protegido no futuro, com seu escudo em tempo real. Mesmo que o IcedID esteja atualmente visando organizações, existem vários exemplos de consumidores que são alvos de Trojans bancários.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: