Cảnh báo về hai biến thể mới của IcedID được sử dụng để phân phối phần mềm độc hại

16:00 | 05/04/2023 | HACKER / MALWARE

Các nhà nghiên cứu của công ty an ninh mạng Proofpoint cho biết, các tin tặc đã sử dụng hai biến thể mới của phần mềm độc hại “IcedID” trong các cuộc tấn công, đáng chú ý các biến thể này lại không có chức năng lừa đảo ngân hàng trực tuyến thông thường, thay vào đó tập trung vào việc cài đặt và phân phối phần mềm độc hại trên các hệ thống bị xâm nhập.

Cảnh báo về hai biến thể mới của IcedID được sử dụng để phân phối phần mềm độc hại

Các cụm hoạt động IcedID riêng biệt

IcedID, còn được gọi là “BokBot”, được biết đến là một trojan ngân hàng vào năm 2017, nó cũng có khả năng phân phối các phần mềm độc hại khác, bao gồm cả mã độc tống tiền. Theo Proofpoint cho biết, IcedID bao gồm một trình tải ban đầu kết nối với máy chủ điều khiển và kiểm soát Loader, tải xuống DLL và sau đó cung cấp bot IcedID.

Proofpoint đã xác định được hai biến thể mới của IcedID, đó là “Lite” và “Forked”, hai biến thể này đều cung cấp cùng một bot IcedID với những tính năng được tối ưu hơn, một trong số đó có vẻ như được kết nối với mạng botnet Emotet, nhẹ hơn so với biến thể “Standard” (biến thể tiêu chuẩn).

Cả Lite và Forked đều được thiết kế để loại bỏ các chức năng không cần thiết trên IcedID, như tiêm mã độc trên web và tính năng “backconnect” thường được sử dụng để lừa đảo ngân hàng, vốn được triển khai trong nhiều chiến dịch độc hại mà không có nhiều thay đổi về mã kể từ năm 2017, điều này khiến cho nó trở nên tinh vi hơn, do đó có thể lẩn tránh bị phát hiện trước các giải pháp bảo mật.

“Có khả năng một nhóm các tin tặc đang sử dụng các biến thể đã sửa đổi để chuyển đổi tính năng trojan ngân hàng thông thường để tập trung vào phân phối payload độc hại và mã độc tống tiền,” Proofpoint lưu ý.

Chiến dịch IcedID mới

Bắt đầu từ tháng 11/2022, biến thể Lite của trình tải IcedID đã được phân phối dưới dạng payload giai đoạn thứ hai trên các hệ thống bị nhiễm bởi phần mềm độc hại Emotet.

Kể từ tháng 2/2023, Proofpoint đã theo dõi một nhóm tin tặc mới có tên là “TA581” sử dụng biến thể Forked của IcedID với chức năng gian lận ngân hàng đã bị loại bỏ. TA581 được cho là công cụ hỗ trợ truy cập ban đầu và cũng được biết đến với việc sử dụng phần mềm độc hại Bumblebee.

Biến thể Forked được các tin tặc phân phối trực tiếp qua hàng nghìn email lừa đảo, liên quan đến các hoạt động kinh doanh, chẳng hạn như bảng lương, thông tin khách hàng, hóa đơn và biên lai đặt hàng để phân phối nhiều loại tệp hoặc URL độc hại.

Các email này đã sử dụng tệp đính kèm Microsoft (.one) để thực thi tệp HTA độc hại, sau đó chạy lệnh PowerShell để tìm nạp IcedID từ một tài nguyên từ xa. Đồng thời, nạn nhân cũng sẽ được cung cấp một tệp PDF để làm mồi nhử.

Tệp đính kèm OneNote độc hại được sử dụng trong chiến dịch gần đây

Vào cuối tháng 2/2023, các nhà nghiên cứu của Proofpoint đã quan sát thấy một chiến dịch phân phối Forked thông qua các thông báo giả mạo từ Đạo luật An toàn giao thông và Phương tiện cơ giới Quốc gia cũng như Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA).

Điều quan trọng cần lưu ý là trong khi một số nhóm tin tặc sử dụng các biến thể mới của phần mềm độc hại IcedID, thì những kẻ khác vẫn chọn triển khai biến thể Standard, với một trong những chiến dịch gần đây nhất là vào ngày 10/3/2023.

Các biến thể mới

Biến thể Forked khá giống với phiên bản Standard về vai trò của nó, khi gửi thông tin đến máy chủ C2 và sau đó tìm nạp bot IcedID. Tuy nhiên, Forked sử dụng một loại tệp khác (máy chủ COM) và có thêm tên miền và giải mã chuỗi.

Giải mã tên miền

Trong khi đó, biến thể Lite có payload nhẹ hơn biến thể Standard, khoảng 20KB và không lọc thông tin máy chủ sang C2. Thay đổi này có ý nghĩa vì nó được triển khai cùng với Emotet, việc sử dụng các phần mềm lây nhiễm Emotet hiện có để cung cấp biến thể Lite đã làm tăng khả năng kết hợp tiềm năng giữa các nhà phát triển Emotet và IcedID.

Forked nhỏ hơn 64KB so với bot Standard, về cơ bản là cùng một phần mềm độc hại, ngoại trừ không có chức năng hệ thống tiêm nhiễm web, chức năng AiTM (liên quan đến việc đánh cắp phiên cookie để thu thập dữ liệu cá nhân, đồng thời bỏ qua các lớp xác thực) và backconnect giúp các tin tặc có thể điều khiển từ xa truy cập vào các thiết bị bị nhiễm.

So sánh giữa biến thể Standard và Forked

Việc phát triển các biến thể mới là một dấu hiệu đáng lo ngại, cho thấy sự thay đổi tính năng để phân phối các payload độc hại. Proofpoint dự đoán rằng hầu hết các tin tặc sẽ tiếp tục sử dụng biến thể Standard, nhưng việc triển khai các phiên bản IcedID mới có thể sẽ phát triển và nhiều biến thể hơn có thể xuất hiện vào cuối năm 2023.

Các nhà nghiên cứu cho biết, mặc dù trong lịch sử chức năng chính của IcedID là một loại trojan ngân hàng, nhưng giờ đây việc loại bỏ chức năng khai thác mục tiêu trên các tài khoản ứng dụng ngân hàng để tập trung phát triển phần mềm độc hại này dưới dạng các trình tải độc hại lây nhiễm, bao gồm cả mã độc tống tiền, cho thấy sự đa dạng của các chủng mã độc và sự tinh vi của các tin tặc trong việc phát triển và thiết kế phần mềm độc hại để phù hợp với các mục tiêu của chúng.

Hữu Tài

‹ › ×

Tin liên quan

Phần mềm độc hại FormBook sử dụng trình tải MalVirt để tránh bị phát hiện

10:00 | 16/02/2023

Một chiến dịch quảng cáo độc hại đang được sử dụng để phát tán các trình cài đặt .NET ảo hóa được thiết kế để triển khai phần mềm độc hại đánh cắp thông tin FormBook.

Phiên bản mới của phần mềm độc hại đánh cắp thông tin Typhon Reborn Stealer với các kỹ thuật nâng cao để chống phân tích và tránh phát hiện

10:00 | 14/04/2023

Các nhà phát triển của trình đánh cắp thông tin Typhon đã thông báo trên một diễn đàn ngầm rằng họ đã cập nhật phần mềm độc hại này lên phiên bản mới “Typhon Reborn V2”, với các khả năng được cải tiến để tránh bị phát hiện và ngăn cản quá trình phân tích thông qua các cơ chế chống ảo hóa.

Phát hiện chiến dịch tấn công nhắm vào cơ sở hạ tầng của Mỹ trong suốt 11 tháng

08:00 | 19/01/2024

Các chuyên gia đã phát hiện một chiến dịch phân phối phần mềm độc hại AsyncRAT nhắm mục tiêu vào các hệ thống thông tin cơ sở hạ tầng của Mỹ đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu trình tải duy nhất và hơn 100 tên miền độc hại.

Biến thể mã độc tống tiền ESXiArgs mới xuất hiện sau khi CISA phát hành công cụ giải mã

09:00 | 16/02/2023

Mã độc tống tiền ESXiArgs đã quay trở lại với một phiên bản cập nhật mã hóa nhiều dữ liệu hơn sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phát hành bộ giải mã giúp các nạn nhân bị ảnh hưởng có thể khôi phục dữ liệu sau các cuộc tấn công của mã độc này trước đó.

Cảnh báo biến thể mới của phần mềm độc hại ngân hàng Dridex

10:00 | 18/01/2023

Mới đây, các nhà nghiên cứu bảo mật tại Trend Micro đã cảnh báo về biến thể mới của phần mềm độc hại ngân hàng Dridex, được phát tán thông qua các tệp đính kèm trong email.

Kỹ thuật lừa đảo mới sử dụng tên miền ZIP để đánh cắp thông tin xác thực và phân phối phần mềm độc hại

10:00 | 02/06/2023

Một kỹ thuật lừa đảo mới với tên gọi là “File Archiver In The Browser” (Trình lưu trữ tệp trong trình duyệt) lạm dụng các tên miền ZIP bằng cách hiển thị các cửa sổ WinRAR hoặc Windows File Explorer giả mạo trong trình duyệt để đánh lừa người dùng khởi chạy các tệp độc hại.

Tin cùng chuyên mục

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.