Çevrimiçi bankacılık dolandırıcılığıyla ilgili işlevleri ortadan kaldıran daha sınırlı işlevselliğe sahip IcedID kötü amaçlı yazılımının iki yeni çeşidini vahşi ortamda kullanan birden fazla tehdit aktörü gözlemlendi.
BokBot olarak da bilinen IcedID, 2017’de bir bankacılık truva atı olarak başladı. Ayrıca, fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar sunabilir.
“İyi bilinen IcedID versiyonu, bir Yükleyici ile temas eden bir ilk yükleyiciden oluşur. [command-and-control] Proofpoint, Pazartesi günü yayınlanan yeni bir raporda, “sunucu, standart DLL Yükleyiciyi indirir ve ardından standart IcedID Bot’u sunar” dedi.
Yeni sürümlerden biri, daha önce Kasım 2022’de Emotet kötü amaçlı yazılımı tarafından bir takip yükü olarak bırakıldığı vurgulanan bir Lite varyantıdır. Ayrıca Şubat 2023’te yeni gözlemlenen bir IcedID Forked varyantıdır.
Kurumsal güvenlik firması, bu varyantların her ikisinin de, tipik olarak bankacılık dolandırıcılığı için kullanılacak web enjeksiyonlarını ve geri bağlantı işlevselliğini dışarıda bırakan IcedID Bot’un Forked sürümünü bırakmak için tasarlandığını belirtti.
Proofpoint, “Bir grup tehdit aktörü, kötü amaçlı yazılımı tipik bankacılık truva atı ve bankacılık dolandırıcılığı faaliyetinden uzaklaştırmak ve muhtemelen fidye yazılımı teslimine öncelik vermeyi de içeren yük teslimine odaklanmak için değiştirilmiş varyantları kullanıyor olabilir” dedi.
Şubat kampanyası, silahlı Microsoft OneNote eklerini kullanarak Forked varyantını dağıtan tehdit aktörü ile TA581 olarak adlandırılan yeni bir grupla ilişkilendirildi. TA581 tarafından kullanılan başka bir kötü amaçlı yazılım, Bumblebee yükleyicisidir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Toplamda, Forked IcedID varyantı bugüne kadar bazıları ilk erişim aracıları (IAB’ler) tarafından üstlenilen yedi farklı kampanyada kullanıldı.
Lite varyantını sunmak için mevcut Emotet enfeksiyonlarının kullanılması, Emotet geliştiricileri ve IcedID operatörleri arasında potansiyel bir ortaklık olasılığını artırdı.
Araştırmacılar, “Geçmişte IcedID’nin ana işlevi bir bankacılık truva atı olsa da, bankacılık işlevinin kaldırılması, bankacılık kötü amaçlı yazılımlarından uzaklaşan genel manzara ve fidye yazılımı da dahil olmak üzere takip eden enfeksiyonlar için bir yükleyici olmaya artan odaklanma ile uyumludur” dedi.