IcedID: nowe złośliwe oprogramowanie wykryte przez IBM na scenie bankowej

IcedID: nowe złośliwe oprogramowanie wykryte przez IBM na scenie bankowej
Spisie treści

W świecie, w którym wszystko jest zarządzane online, widzimy, że wszystkie nasze dane znajdują się w stałej zmiennej bezpieczeństwa, która zawsze ma tendencję do podatności na ataki z powodu tysięcy ataków przeprowadzanych w sieci.

Większość z nas często przeprowadza transakcje handlowe przez Internet, w których zagrożone są nasze dane osobowe, numery kont bankowych, numery kart kredytowych i inne, co sprawia, że ​​jest to delikatna sytuacja w zakresie bezpieczeństwa, ponieważ jeśli jest to informacja, która wpadnie w niepowołane ręce, możemy być w poważnych trudnościach.

Analitycy bezpieczeństwa, zwłaszcza pod względem złośliwego oprogramowania, wykryli nowe zagrożenie, jakim jest trojan bankowy o nazwie IcedID, który znajduje się obecnie na wczesnym etapie rozwoju. Solvetic przeanalizuje, jak działa to nowe zagrożenie, aby podjąć niezbędne środki bezpieczeństwa.

Jak wykryto to złośliwe oprogramowanie

Grupa badawcza IBM X-Force stale analizuje i monitoruje dziedzinę cyberprzestępczości finansowej w celu wykrycia zdarzeń i trendów kształtujących krajobraz zagrożeń zarówno na poziomie organizacji, jak i dla konsumentów finansowych, których suma wynosi miliony.

Po roku, który był bardzo aktywny pod względem złośliwego oprogramowania bankowego, z atakami, takimi jak złośliwe oprogramowanie w punktach sprzedaży (POS) i ataki typu ransomware, takie jak WannaCry, zespół X-Force zidentyfikował nowego, naturalnie aktywnego trojana bankowego o nazwie IcedID .

Według badań przeprowadzonych przez grupę X-Force, nowy trojan bankowy pojawił się we wrześniu 2021-2022, kiedy uruchomiono jego pierwsze kampanie testowe. Badacze zaobserwowali, że IcedID posiada modułowy złośliwy kod z możliwościami nowoczesnych trojanów bankowych porównywalnymi ze szkodliwym oprogramowaniem, takim jak trojan Zeus. Obecnie szkodliwe oprogramowanie atakuje banki, dostawców kart płatniczych, dostawców usług mobilnych, listy płac, pocztę internetową i witryny handlu elektronicznego w Stanach Zjednoczonych, a dwa główne banki w Wielkiej Brytanii również znajdują się na liście celów osiąganych przez szkodliwe oprogramowanie.

Wygląda na to, że IcedID nie pożyczył kodu od innych znanych trojanów, ale implementuje identyczne funkcje, które umożliwiają mu wykonywanie zaawansowanych taktyk manipulacji przeglądarką. Chociaż możliwości IcedID są już porównywalne z możliwościami innych trojanów bankowych, takich jak Zeus, Gozi i Dridex, oczekuje się, że w nadchodzących tygodniach pojawią się kolejne aktualizacje tego szkodliwego oprogramowania.

Rozprzestrzenianie się złośliwego oprogramowania

Przeprowadzona przez grupę X-Force analiza metody dostarczania szkodliwego oprogramowania IcedID wskazuje, że operatorzy nie są nowi w dziedzinie cyberprzestępczości i decydują się infekować użytkowników za pośrednictwem trojana Emotet. Dochodzenie X-Force zakłada, że ​​cyberprzestępca lub mały gatunek cybernetyczny wykorzystywał w tym roku Emotet jako operację dystrybucji trojanów bankowych i innego szkodliwego kodu. Najbardziej znaną strefą ataków Emotet są Stany Zjednoczone. W mniejszym stopniu atakuje ona również użytkowników w Wielkiej Brytanii i innych częściach świata.

Emotet jest wymieniony jako jedna z godnych uwagi metod dystrybucji złośliwego oprogramowania w latach 2021-2022, obsługująca elitarne grupy cyberprzestępcze z Europy Wschodniej, takie jak te obsługiwane przez QakBot i Dridex. Emotet pojawił się w 2014 roku po wycieku oryginalnego kodu źródłowego trojana Bugat. Pierwotnie Emotet był trojanem bankowym poprzedzającym Dridex. W związku z tym jest przeznaczony do gromadzenia i utrzymywania botnetów. Emotet utrzymuje się na komputerze, a następnie otrzymuje dodatkowe składniki, takie jak moduł spamu, moduł robaka sieciowego oraz kradzież haseł i danych w celu obsługi poczty e-mail programu Microsoft Outlook i aktywności przeglądarki użytkownika.

Sam Emotet pochodzi z malspamu, zwykle w zmanipulowanych plikach produktywności, które zawierają złośliwe makra. Gdy Emotet zainfekuje punkt końcowy, staje się cichym rezydentem i obsługuje złośliwe oprogramowanie innych cyberprzestępców bez wykrycia. IcedID może przeprowadzać ataki, które kradną dane finansowe od użytkownika poprzez ataki przekierowania, które instalują lokalne proxy w celu przekierowywania użytkowników do stron klonujących, oraz ataki wstrzykiwania stron internetowych, za pomocą tej metody wstrzykiwany jest proces przeglądarki, aby wyświetlić fałszywe treści nałożone na oryginalną strona udająca witrynę godną zaufania.

TTP IcedIDTTP (Taktyka, Techniki i Procedury - Taktyki, Techniki i Procedury) IcedID zawierają szereg elementów, które należy wziąć pod uwagę i wziąć pod uwagę, mówiąc o tym złośliwym oprogramowaniu. Oprócz najczęstszych funkcji trojana, IcedID ma zdolność rozprzestrzeniania się w sieci, a gdy już się tam znajdzie, monitoruje aktywność online ofiary, konfigurując lokalny serwer proxy dla tunelu ruchu, co jest koncepcją przypominającą trojana GootKit. Ich taktyki ataku obejmują ataki webinjection i zaawansowane ataki przekierowujące podobne do schematu stosowanego przez Dridex i TrickBot.

Propagacja w sieci

Operatorzy IcedID zamierzają skupić się na biznesie, ponieważ od samego początku dodali do złośliwego oprogramowania moduł propagacji sieci. IcedID ma możliwość przenoszenia się do innych punktów końcowych, a badacze X-Force zaobserwowali również, że infekuje serwery terminalowe. Serwery terminalowe zazwyczaj zapewniają, jak sama nazwa wskazuje, terminale, takie jak punkty końcowe, drukarki i współdzielone urządzenia sieciowe, ze wspólnym punktem połączenia z siecią lokalną (LAN) lub siecią rozległą (WAN), co sugeruje, że IcedID ma już kierował wiadomości e-mail pracowników na ziemię w punktach końcowych organizacji, rozszerzając swój atak.

Na poniższej grafice możemy zobaczyć funkcje propagacji sieci IcedID, z IDA-Pro:

Aby znaleźć innych użytkowników do zainfekowania, IcedID wysyła zapytanie do protokołu Lightweight Directory Access Protocol (LDAP) o następującej strukturze:

Oszustwa finansowe IcedID TTP obejmują dwa tryby ataku

  • Ataki webinjekcyjne
  • Ataki przekierowujące

W tym celu szkodliwe oprogramowanie pobiera plik konfiguracyjny z serwera dowodzenia (C&C) trojana, gdy użytkownik otwiera przeglądarkę internetową. Konfiguracja obejmuje cele, w przypadku których zostanie uruchomiony atak wstrzykiwania sieci Web, głównie banki i inne cele, które zostały wyposażone w ataki przekierowujące, takie jak karty płatnicze i witryny poczty internetowej.

Wdrożenie ładunku IcedID i szczegóły techniczne

Badacze X-Force przeprowadzili dynamiczną analizę próbek złośliwego oprogramowania IcedID, a następnie złośliwe oprogramowanie jest wdrażane na punkty końcowe z różnymi wersjami systemu operacyjnego Windows. Wygląda na to, że nie posiada żadnych zaawansowanych maszyn antywirtualnych (VM) ani technik zapobiegających dochodzeniu, poza następującymi:

Wymaga ponownego uruchomienia w celu ukończenia pełnego wdrożenia, prawdopodobnie w celu ominięcia piaskownic, które nie emulują ponownego uruchamiania. Komunikuje się przez Secure Sockets Layer (SSL), aby dodać warstwę bezpieczeństwa do komunikacji i uniknąć automatycznego skanowania przez systemy wykrywania włamań.
Dzięki tej operacji badacze X-Force twierdzą, że z czasem do tego trojana można zastosować funkcje antykryminalistyczne.

IcedID jest implementowany na docelowych punktach końcowych przy użyciu trojana Emotet jako bramy. Po ponownym uruchomieniu ładunek jest zapisywany w folderze % Windows LocalAppData% z wartością wygenerowaną przez niektóre parametry systemu operacyjnego. Ta wartość jest używana zarówno w ścieżce wdrożenia, jak i wartości RunKey dla pliku.
Pełna konwencja wartości to: 

 %LOCALAPPDATA%\[a-z]{9}\[a-z]{9}.exe C:\Użytkownicy\Użytkownik\AppData\Local\ewonliarl\ewonliarl.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ewonliarl
Szkodnik ustanawia swój mechanizm trwałości, tworząc RunKey we wskazanym rejestrze, aby zapewnić jego przetrwanie po zdarzeniach ponownego uruchomienia systemu. Następnie IcedID zapisuje klucz szyfrowania RSA dla systemu w folderze AppData. Złośliwe oprogramowanie może zapisywać do tego klucza RSA podczas procedury wdrażania, co może być związane z faktem, że ruch sieciowy jest kierowany przez proces IcedID, nawet gdy ruch SSL jest kierowany.
Plik tymczasowy jest zapisany zgodnie z następującą konwencją:% TEMP% \ [A-F0-9] {8} .tmp. 
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7 \275830b Użytkownicy lokalni Temp \ CACCEF19.tmp
Proces IcedID nadal działa, co jest rzadkością w przypadku złośliwego oprogramowania. Może to oznaczać, że niektóre części kodu są nadal naprawiane i ten problem zmieni się w następnej aktualizacji.

Proces wdrażania kończy się w tym miejscu, a złośliwe oprogramowanie będzie nadal działać w ramach procesu Eksploratora do następnego ponownego uruchomienia tego punktu końcowego. Po zdarzeniu ponownego uruchomienia ładunek jest wykonywany, a trojan IcedID rezyduje na punkcie końcowym. W tym momencie komponenty szkodliwego oprogramowania są gotowe do przekierowywania ruchu internetowego ofiary przez lokalny serwer proxy, który kontroluje.

Jak IcedID przekierowuje ruch sieciowy ofiary

IcedID konfiguruje lokalny serwer proxy do nasłuchiwania i przechwytywania komunikacji z punktu końcowego ofiary i przekierowuje przez niego cały ruch internetowy w dwóch przeskokach. Najpierw ruch jest przekazywany do lokalnego serwera localhost (127.0.0.1) przez port 49157, który jest częścią dynamicznych i/lub prywatnych portów TCP/IP. Po drugie, złośliwy proces złośliwego oprogramowania nasłuchuje na tym porcie i przenosi odpowiednią komunikację na serwer C&C.

Chociaż został opracowany niedawno, IcedID wykorzystuje ataki przekierowania. Schemat przekierowań, z którego korzysta IcedID, nie polega na prostym przełączeniu się na inną stronę internetową z innym adresem URL, wręcz przeciwnie, jest zaprojektowany tak, aby był jak najbardziej przejrzysty dla ofiary.

Taktyki te obejmują wyświetlanie prawidłowego adresu URL banku w pasku adresu oraz prawidłowego certyfikatu SSL banku, co jest możliwe dzięki utrzymywaniu połączenia na żywo z rzeczywistą witryną banku, dzięki czemu nie mamy możliwości wykrycia zagrożenia. Schemat przekierowania IcedID jest implementowany poprzez jego plik konfiguracyjny. Złośliwe oprogramowanie nasłuchuje docelowego adresu URL z listy i po znalezieniu wyzwalacza uruchamia wyznaczony wstrzyknięcie z sieci. Ten webinjection wysyła ofiarę na fałszywą stronę bankową skonfigurowaną wcześniej tak, aby pasowała do pierwotnie żądanej strony, symulując jej środowisko.

Ofiara jest nakłaniana do przedstawienia swoich danych uwierzytelniających na replice fałszywej strony, która nieświadomie wysyła ją na serwer atakującego. Od tego momentu atakujący kontroluje sesję, przez którą przechodzi ofiara, co zazwyczaj obejmuje socjotechnikę w celu nakłonienia ofiary do ujawnienia elementów autoryzacji transakcji.

Komunikacja ze złośliwym oprogramowaniem

Komunikacja IcedID odbywa się za pomocą szyfrowanego protokołu SSL. Podczas kampanii analizowanej pod koniec października szkodliwe oprogramowanie komunikowało się z czterema różnymi serwerami C&C Poniższa grafika przedstawia schematyczny widok infrastruktury komunikacji i infekcji IcedID:

POWIĘKSZAĆ

Aby zgłosić nowe infekcje do botnetu, IcedID wysyła zaszyfrowaną wiadomość z identyfikacją bota i podstawowymi informacjami o systemie w następujący sposób:

Odkodowane części wiadomości zawierają następujące szczegóły, które są wysyłane do C&C

  • B = identyfikator bota
  • K = Nazwa drużyny
  • L = grupa robocza
  • M = wersja systemu operacyjnego

Panel zdalnego wtrysku

Aby zorganizować ataki webinjection na każdą stronę banku docelowego, operatorzy IcedID dysponują dedykowanym zdalnym panelem internetowym dostępnym za pomocą kombinacji nazwy użytkownika i hasła identycznej jak w oryginalnym banku.
Panele do wstrzykiwania stron internetowych to często komercyjne oferty, które przestępcy kupują na podziemnych rynkach. Możliwe, że IcedID korzysta z panelu komercyjnego lub że IcedID jest komercyjnym złośliwym oprogramowaniem. Jednak w tej chwili nic nie wskazuje na to, że IcedID jest sprzedawany na rynkach podziemnych lub Dark Web.

Panel zdalnego wtrysku będzie wyglądał tak:

Jak widać, użytkownik jest proszony o wprowadzenie swoich danych uwierzytelniających, tak jak robi to w normalny sposób na stronie internetowej swojego banku. Panel ponownie komunikuje się z serwerem opartym o platformę webową OpenResty. Zgodnie z oficjalną stroną internetową, OpenResty ma na celu pomóc programistom w łatwym tworzeniu skalowalnych aplikacji internetowych, usług internetowych i dynamicznych portali internetowych, ułatwiając ich rozpowszechnianie.

Jak chronić się przed IcedID

Grupa badawcza X-Force zaleca stosowanie poprawek bezpieczeństwa do przeglądarek i samodzielnie przeprowadziła następujący proces:

Internet Explorer 

 Połącz UtwórzProcesInternalW CertGetCertificateChain CertWeryfikacjaCertificateChainPolicy

Firefox 

 nss3.dll! SSL_AuthCertificateHook

Innych przeglądarkach 

 UtwórzProcessInternalW UtwórzSemaforA

Chociaż IcedID wciąż się rozprzestrzenia, nie wiadomo z całą pewnością, jaki będzie to miało wpływ na świat, ale najlepiej jest być o krok do przodu i podjąć niezbędne środki bezpieczeństwa.

Będziesz pomóc w rozwoju serwisu, dzieląc stronę ze swoimi znajomymi

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Jak aktywować NFC w Honor 10 Lite
2
post-title
Jak ograniczyć korzystanie z danych Wi-Fi lub Ethernet w systemie Windows 10?
3
post-title
Jak dodać dwa lub więcej pasków zadań w systemie Windows 10?
4
post-title
▷ Zresetuj hasło Terminal Mac ✔️
5
post-title
Zainstaluj system Windows 10 z ustawieniami niestandardowymi lub szybkimi

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -