Modded Zoom uygulaması, IcedID kötü amaçlı yazılımında yüksek
Bu örnekte, bilgisayar korsanları kötü amaçlı yazılımı uygulamaya yerleştirmenin ve onu kötü amaçlı kampanyaları için kullanmanın bir yolunu buldu. Saldırının arkasındaki siber suçlular, BokBot olarak da bilinen IcedID kötü amaçlı yazılımını kullanıyor. Truva atı, yeraltı pazarlarında popülerdir ve kurbanların bankacılık kimlik bilgilerini çalabilir.
Araştırmacılara göre, truva atı kuruluşlardan mali bilgileri çalmak için tasarlandı ve kurbanın cihazlarına başka kötü amaçlı yazılım dağıtmak için bir yükleyici olarak kullanılabilir.
IcedID, öncelikle kurbanlarından finansal bilgileri çalmak için kullanılan bir kötü amaçlı yazılımdır. Genellikle, kurbanların kötü amaçlı bir bağlantıya veya eke tıklayarak kötü amaçlı yazılımı indirmeleri ve cihazlarına yüklemeleri için kandırıldığı kimlik avı kampanyaları aracılığıyla dağıtılır. Kurulduktan sonra IcedID, oturum açma kimlik bilgilerini ve kredi kartı numaraları ve banka hesabı ayrıntıları gibi diğer hassas bilgileri toplayabilir. Ayrıca, kötü niyetli yazılımları virüslü cihaza indirip yükleyerek saldırganların sistem üzerinde daha fazla erişim ve kontrol sahibi olmalarını sağlar.
Bu durumda bilgisayar korsanları, IcedID kötü amaçlı yazılımını yaymak için bir kimlik avı web sitesi kullandı. Saldırganlar, kullanıcıları kandırarak IcedID kötü amaçlı yazılımını indirmeleri için yasal bir Zoom web sitesine benzeyen bir kimlik avı sayfası oluşturdu.
Kampanya, kullanıcıyı modlanmış Zoom uygulamasını indirerek bir indirme düğmesine tıklamaya teşvik eden bir kimlik avı web sitesi aracılığıyla yürütülür. Kullanıcı uygulamayı indirip yükledikten sonra, uygulamanın ana bileşeni IcedID iken Zoom olarak maskelendiği için risk altında olacaktır.
IcedID, dünya çapında kurbanlara bulaşan sofistike, uzun ömürlü bir kötü amaçlı yazılımdır. Emotet, TrickBot ve Hancitor gibi iyi bilinen tehditler tarafından düzenli olarak ikincil bir yük olarak dağıtılır. Kötü amaçlı yazılım, spam e-postaların yönünü takip eder ve kurbanın sistemine yayılmak için Office dosyalarını ve belgelerini kullanır.
CRIL tarafından bulunan kampanyada, tehdit aktörü IcedID yükünü bir kimlik avı sitesi aracılığıyla teslim etti. Kurbanın cihazlarındaki güvenlik protokollerini engelleyen gelişmiş teknikler kullanarak tespit edilmekten kurtuldu.