IcedID恶意软件将重点从银行欺诈转移到勒索软件交付

IcedID 恶意软件

观察到多个威胁行为者在野外使用IcedID恶意软件的两个新变体,其功能更加有限,删除了与网上银行欺诈相关的功能。

IcedID,也称为BokBot,最初是2017年的银行木马。它还能够提供其他恶意软件,包括勒索软件。

“众所周知的IcedID版本包含一个初始加载器,它联系加载器[命令和控制]服务器,下载标准DLL加载器,然后交付标准IcedID Bot,”Proofpoint在周一发布的一份新报告中说。

其中一个新版本是Lite变体,之前被强调为2022年11月被Emotet恶意软件丢弃的后续有效负载。2023年2月新观察到的还有IcedID的Forked变体。

这家企业安全公司指出,这两种变体都旨在删除所谓的IcedID Bot的分叉版本,该版本省略了通常用于银行欺诈的网络注入和反向连接功能。

Proofpoint指出:“很可能一群威胁行为者正在使用修改后的变体将恶意软件从典型的银行木马和银行欺诈活动中转移出来,专注于有效负载交付,这可能包括优先交付勒索软件。”

2 月的活动与一个名为TA581的新组织有关,威胁参与者使用武器化的Microsoft OneNote附件分发Forked变体。TA581使用的另一种恶意软件是Bumblebee加载程序。

总之,迄今为止,Forked IcedID变体已在七个不同的活动中使用,其中一些活动是由初始访问代理(IAB)进行的。

使用现有的Emotet感染来提供Lite变体增加了Emotet开发人员和IcedID运营商之间建立潜在合作伙伴关系的可能性。

研究人员表示:“虽然从历史上看,IcedID的主要功能是银行木马,但银行功能的移除与银行恶意软件的整体格局转变以及对成为后续感染(包括勒索软件)的加载程序的关注日益增加相一致。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5487.html

标签