795
新型銀行木馬IcedID現身,具備雙重攻擊能力
IBM X-Force研究團隊是世界上最知名的商業安全研究團隊之一。這些安全專家可監視並分析各種來源的安全問題,提供威脅情報內容並將其作為IBM Security產品服務組合的基礎。IBM X-Force 可生成多項思想領先的安全研究資產,幫助客戶、研究人員和公眾更深入地了解最新的安全風險,提前預知新興威脅。
最近,IBM X-Force發現了一個新型的銀行木馬,他們將其命名為“IcedID”,目前似乎正處於開發的初始階段。
盡管IcedID目前還不夠完善,但它已經展現出了一些先進的功能,並且是很多舊版本的銀行木馬所無法與之相比的。
同時具備重定向攻擊和Web注入攻擊能力
IcedID可以通過重定向攻擊(安裝本地代理將用戶重定向到惡意網站)和網頁注入攻擊(注入瀏覽器進程顯示重疊在原頁麵上的虛假內容)來執行竊取受害者的財務數據。
而在過去,隻有Dridex(最先進的銀行木馬之一)被認為能夠同時使用這兩種攻擊方式。當然,這主要是因為網絡犯罪分子通常隻會選擇其中之一,並專注於完善他們的技術。
此外,根據IBM X-Force的調查,IcedID背後的犯罪組織正在通過Emotet(銀行木馬之一)使用的僵屍網絡基礎設施在已經被感染的計算機上傳播IcedID。
據本周惡意軟件行業的一位消息人士透露,在過去的一年裏,Emotet已經將重點從竊取受害者財務信息轉向了惡意軟件交付平台。
看起來,IcedID似乎是Emotet的最新客戶之一。而IcedID正在使用Emotet的地理定位功能,僅在特定國家/地區向受害者傳送木馬。
IcedID將目標定位於北美國家
根據IcedID樣本的配置文件的類型,犯罪組織似乎將其目標定位在了美國、加拿大和英國。
在對配置文件深入分析後,就會發現IcedID可以針對銀行、支付卡提供商、移動服務提供商、工資門戶、網絡郵件客戶端和電子商務網站發起攻擊。
更具體地說,IcedID的重定向攻擊目標是支付卡和網絡郵件網站,而Web注入攻擊則針對了網上銀行門戶網站。
雖然,IcedID針對的大多數銀行門戶網站都位於美國和加拿大,但也包括英國的兩家銀行。
IcedID具有粗糙的反虛擬機功能
在這種情況下,IcedID的重定向功能通過在端口49157上運行的本地代理匯集網絡流量來工作。
IcedID目前唯一的弱點就是缺乏先進的反虛擬機和反沙箱檢測功能。IcedID現階段配置的這些功能都還很粗糙。
目前,尚不清楚IBM X-Force發現的IcedID樣本是最終的成品還是處於開發的最初實驗階段。無論怎樣,我們或許將在未來幾個月中看到它的活躍“表現”。
本文轉自d1net(轉載)
最後更新:2017-11-17 15:05:40