IcedID: Nový malware objevený společností IBM na bankovní scéně

Obsah

Ve světě, kde je vše spravováno online, vidíme, že všechna naše data jsou v konstantní proměnné zabezpečení, která má vždy tendenci být zranitelná kvůli tisícům útoků, které jsou prováděny na webu.

Většina z nás často provádí obchodní transakce přes internet, kde jsou v sázce naše osobní údaje, čísla bankovních účtů, čísla kreditních karet a další, což z něj činí choulostivou bezpečnostní situaci, protože pokud se informace dostanou do špatných rukou, můžeme být ve vážných potížích.

Bezpečnostní analytici, zejména pokud jde o malware, odhalili novou hrozbu, kterou je bankovní trojan s názvem IcedID, který je v současné době v raných fázích vývoje. Společnost Solvetic bude analyzovat, jak tato nová hrozba působí, aby přijala nezbytná bezpečnostní opatření.

Jak byl tento malware objeven

Výzkumná skupina IBM X-Force neustále analyzuje a monitoruje oblast finanční počítačové kriminality, aby detekovala události a trendy, které utvářejí prostředí hrozeb, a to jak na úrovni organizací, tak pro finanční spotřebitele, kterých se sčítají miliony.

Po roce, který byl velmi aktivní v oblasti bankovního malwaru, s útoky jako malware v místě prodeje (POS) a útoky ransomware, jako je WannaCry, tým X-Force identifikoval nový, přirozeně aktivní bankovní trojan s názvem IcedID .

Podle výzkumu provedeného skupinou X-Force se nový bankovní trojský kůň objevil v září 2021-2022, kdy byly spuštěny jeho první testovací kampaně. Vědci zjistili, že IcedID vlastní modulární škodlivý kód s moderními možnostmi bankovního trojského koně srovnatelnými s malwarem, jako je například Zeus Trojan. Právě teď se malware zaměřuje na banky, poskytovatele platebních karet, poskytovatele mobilních služeb, výplatní listiny, webovou poštu a weby elektronického obchodování v USA a dvě z hlavních britských bank jsou také na seznamu cílů, kterých malware dosahuje.

Nezdá se, že by si IcedID vypůjčil kód od jiných známých trojských koní, ale implementuje identické funkce, které mu umožňují provádět pokročilé taktiky manipulace s prohlížečem. Přestože jsou schopnosti IcedID již na stejné úrovni jako ostatní bankovní trojské koně, jako jsou Zeus, Gozi a Dridex, v příštích týdnech se očekává další aktualizace tohoto malwaru.

Šíření malwaru

Analýza skupiny X-Force o způsobu doručování malwaru IcedID naznačuje, že operátoři nejsou v oblasti počítačové kriminality nováčci a rozhodli se nakazit uživatele prostřednictvím trojského koně Emotet. Vyšetřování X-Force předpokládá, že aktér ohrožení nebo malý kybernetický žánr letos použil Emotet jako distribuční operaci pro bankovní trojské koně a další malware kód. Nejvýraznější útočnou zónou Emotetu jsou USA. V menší míře se zaměřuje také na uživatele ve Velké Británii a dalších částech světa.

Emotet je uveden jako jedna z pozoruhodných metod distribuce malwaru v letech 2021-2022 a slouží elitním východoevropským skupinám počítačové kriminality, jako jsou skupiny provozované společnostmi QakBot a Dridex. Emotet vznikl v roce 2014 po úniku původního zdrojového kódu pro Bugat Trojan. Původně Emotet byl bankovní trojan, který předcházel Dridexu. Jako takový je určen k akumulaci a údržbě botnetů. Emotet na stroji setrvá a poté získá další komponenty, jako je modul nevyžádané pošty, modul síťového červa a krádež hesla a dat pro e -maily a aktivitu prohlížeče Microsoft Outlook.

Samotný Emotet přichází prostřednictvím malspamu, obvykle v rámci manipulovaných souborů produktivity, které obsahují škodlivá makra. Jakmile Emotet nakazí koncový bod, stane se tichým rezidentem a bude provozován tak, aby sloužil malwaru od jiných kyberzločinců, aniž by byl jednoduše detekován. IcedID může provádět útoky, které uživateli kradou finanční údaje prostřednictvím útoků přesměrování, které instalují místní proxy pro přesměrování uživatelů na klonovací weby a útoky na webovou injekci, pomocí této metody je proces prohlížeče injektován tak, aby zobrazoval falešný obsah překrývající se s originálem stránka vydávající se za důvěryhodný web.

IcedID TTPTTP (taktiky, techniky a postupy - taktiky, techniky a postupy) IcedID obsahují řadu prvků, které je třeba při rozhovoru o tomto malwaru zvážit a vzít v úvahu. Kromě nejběžnějších funkcí trojského koně má IcedID schopnost šířit se po síti a jakmile je tam, monitoruje online aktivitu oběti konfigurací lokálního serveru proxy pro dopravní tunel, což je koncept připomínající trojského koně GootKit. Jejich taktika útoku zahrnuje útoky webinjection a sofistikované útoky přesměrováním podobné schématu, které používají Dridex a TrickBot.

Šíření v síti

Operátoři IcedID se hodlají zaměřit na podnikání, protože k malwaru od začátku přidali modul šíření sítě. IcedID má schopnost přejít na jiné koncové body a vědci X-Force také pozorovali, že infikuje terminálové servery. Terminálové servery obvykle poskytují, jak název napovídá, terminály, jako jsou koncové body, tiskárny a sdílená síťová zařízení, se společným bodem připojení k místní síti (LAN) nebo k síti WAN (Wide Area Network), což naznačuje, že IcedID již směrovány e -maily zaměstnanců na zem v koncových bodech organizace, které rozšiřují jeho útok.

Na následujícím obrázku můžeme vidět funkce šíření sítě IcedID z IDA-Pro:

Chcete -li najít další uživatele k infikování, IcedID vyhledá protokol LDAP (Lightweight Directory Access Protocol) s následující strukturou:

Finanční podvody IcedID TTP zahrnují dva režimy útoku

  • Webinjection útoky
  • Přesměrování útoků

Za tímto účelem malware stáhne konfigurační soubor ze serveru příkazů a řízení (C & C) Trojana, když uživatel otevře internetový prohlížeč. Konfigurace obsahuje cíle, pro které bude spuštěn útok webové injekce, hlavně banky a další cíle, které byly vybaveny útoky přesměrováním, jako jsou platební karty a weby pro webovou poštu.

Nasazení užitečného zatížení IcedID a technické detaily

Výzkumníci X-Force provedli dynamickou analýzu vzorků malwaru IcedID a odtud je malware nasazen do koncových bodů s různými verzemi operačního systému Windows. Nezdá se, že by disponoval jinými pokročilými technikami antivirového stroje (VM) nebo vyšetřování, než jsou následující:

K dokončení plného nasazení vyžaduje restart, případně k obejití sandboxů, které emulaci restartu neimplementují. Komunikuje prostřednictvím SSL (Secure Sockets Layer), aby do komunikace přidala vrstvu zabezpečení a vyhnula se automatizovanému skenování systémy detekce narušení.
Touto operací vědci X-Force tvrdí, že na tento trojský kůň lze časem aplikovat anti-forenzní funkce.

IcedID je implementován do cílových koncových bodů pomocí trojského koně Emotet jako brány. Po restartování je užitečné zatížení zapsáno do složky% Windows LocalAppData% s hodnotou generovanou některými parametry operačního systému. Tato hodnota se používá v cestě nasazení i v hodnotě RunKey pro soubor.
Úplná konvence hodnoty je:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Malware stanoví svůj mechanismus trvalosti vytvořením RunKey v uvedeném registru, aby bylo zajištěno jeho přežití po událostech restartu systému. Následně IcedID zapíše šifrovací klíč RSA pro systém do složky AppData. Malware může do tohoto klíče RSA zapisovat během rutiny nasazení, což může souviset se skutečností, že webový provoz je přenášen prostřednictvím procesu IcedID, i když je přenášen přenos SSL.
Dočasný soubor je zapsán s následující konvencí:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb72 Teplota \ CACCEF19.tmp
Proces IcedID nadále běží, což je u malwaru vzácné. To by mohlo znamenat, že některé části kódu jsou stále opravovány a tento problém se změní v příští aktualizaci.

Proces nasazení zde končí a malware bude pokračovat v procesu Průzkumníka až do příštího restartu tohoto koncového bodu. Po události restartu se spustí užitečné zatížení a trojský kůň IcedID se stane rezidentem v koncovém bodě. V tomto okamžiku jsou komponenty malwaru na místě, aby zahájily přesměrování internetového provozu oběti prostřednictvím místního serveru proxy, který ovládá.

Jak IcedID přesměruje webový provoz oběti

IcedID konfiguruje místní proxy, aby naslouchal a zachytával komunikaci z koncového bodu oběti a přesměroval přes něj veškerý internetový provoz ve dvou směrech. Nejprve je provoz přenesen na místní server localhost (127.0.0.1) přes port 49157, který je součástí dynamických a / nebo soukromých portů TCP / IP. Za druhé, škodlivý proces malwaru naslouchá na tomto portu a přesouvá relevantní komunikaci na váš server C&C.

Přestože byl IcedID vyvinut nedávno, používá útoky přesměrováním. Schéma přesměrování, které IcedID používá, není jednoduché předání na jiný web s jinou adresou URL, naopak je navrženo tak, aby oběti působilo co nejtransparentněji.

Mezi tyto taktiky patří zobrazení legitimní adresy URL banky v adresním řádku a správný SSL certifikát banky, což je možné díky zachování živého připojení ke skutečnému webu banky, takže nemáme možnost detekovat hrozbu. Schéma přesměrování IcedID je implementováno prostřednictvím konfiguračního souboru. Malware naslouchá cílové adrese URL v seznamu a jakmile najde spouštěč, spustí určenou webovou injekci. Tato webová injekce pošle oběť na falešný bankovní web nakonfigurovaný předem, aby odpovídal původně požadovanému webu simulací jeho prostředí.

Oběť je podvedena k předložení svých přihlašovacích údajů na repliku falešné stránky, která ji nevědomky odešle na útočníkův server. Od té chvíle útočník řídí relaci, kterou oběť prochází, což obvykle zahrnuje sociální inženýrství, aby přiměla oběť zveřejnit položky autorizace transakce.

Komunikace s malwarem

Komunikace IcedID probíhá prostřednictvím šifrovaného protokolu SSL. Během kampaně analyzované na konci října malware komunikoval se čtyřmi různými servery C&C. Následující obrázek ukazuje schematický pohled na komunikační a infekční infrastrukturu IcedID:

ZVĚTŠIT

K nahlášení nových infekcí do botnetu IcedID odešle šifrovanou zprávu s identifikací robota a základními informacemi o systému následujícím způsobem:

Části dekódované zprávy ukazují následující detaily, které jsou odeslány do C&C

  • B = ID robota
  • K = Název týmu
  • L = Pracovní skupina
  • M = verze operačního systému

Dálkový vstřikovací panel

K organizování útoků webinjection pro každý web cílové banky mají operátoři IcedID vyhrazený webový vzdálený panel přístupný pomocí kombinace uživatelského jména a hesla identické s původní bankou.
Webové injekční panely jsou často komerční nabídky, které zločinci kupují na podzemních trzích. Je možné, že IcedID používá komerční panel nebo že IcedID je komerční malware. V tuto chvíli však nic nenasvědčuje tomu, že by se IcedID prodával na trzích undergroundu nebo Dark Web.

Dálkový vstřikovací panel bude vypadat takto:

Jak zde vidíme, uživatel je požádán, aby zadal své přihlašovací údaje jako obvykle na webových stránkách své banky. Panel znovu komunikuje se serverem založeným na webové platformě OpenResty. Podle svých oficiálních webových stránek je OpenResty navržen tak, aby pomohl vývojářům snadno vytvářet škálovatelné webové aplikace, webové služby a dynamické webové portály tím, že usnadní jejich šíření.

Jak se chránit před IcedID

Výzkumná skupina X-Force doporučuje aplikovat na prohlížeče bezpečnostní záplaty a sami provedli následující postup:

Internet Explorer

 Připojte CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll! SSL_AuthCertificateHook

Ostatní prohlížeče

 CreateProcessInternalW CreateSemaphoreA

Přestože se IcedID stále šíří, není s jistotou známo, jaký bude mít celosvětový dopad, ale je ideální být o krok napřed a přijmout nezbytná bezpečnostní opatření.

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave