Çevrimiçi bankacılık sahtekarlığıyla ilgili işlevleri ortadan kaldıran daha sınırlı işlevselliğe sahip IcedID kötü amaçlı yazılımının iki yeni çeşidini vahşi ortamda kullanan birden fazla tehdit aktörü gözlemlendi.
BokBot olarak da bilinen IcedID, 2017’de bir bankacılık truva atı olarak başladı. Ayrıca, fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar sunabilir.
“İyi bilinen IcedID versiyonu, bir Yükleyici ile temas kuran bir ilk yükleyiciden oluşur. [command-and-control] sunucu, standart DLL Yükleyiciyi indirir ve ardından standart IcedID Bot’u sunar,” Proofpoint söz konusu Pazartesi günü yayınlanan yeni bir raporda.
Yeni sürümlerden biri, daha önce Kasım 2022’de Emotet kötü amaçlı yazılımı tarafından bir takip yükü olarak bırakıldığı vurgulanan bir Lite varyantıdır. Ayrıca Şubat 2023’te yeni gözlemlenen bir IcedID Forked varyantıdır.
Kurumsal güvenlik firması, bu varyantların her ikisinin de, tipik olarak bankacılık dolandırıcılığı için kullanılacak web enjeksiyonlarını ve geri bağlantı işlevselliğini dışarıda bırakan IcedID Bot’un Forked sürümünü bırakmak için tasarlandığını belirtti.
Proofpoint, “Bir grup tehdit aktörü, kötü amaçlı yazılımı tipik bankacılık truva atı ve bankacılık dolandırıcılığı faaliyetinden uzaklaştırmak ve muhtemelen fidye yazılımı teslimine öncelik vermeyi de içeren yük teslimine odaklanmak için değiştirilmiş varyantları kullanıyor olabilir” dedi.
Şubat kampanyası, silahlı Microsoft OneNote eklerini kullanarak Forked varyantını dağıtan tehdit aktörü ile TA581 olarak adlandırılan yeni bir grupla ilişkilendirildi. TA581 tarafından kullanılan başka bir kötü amaçlı yazılım, Bumblebee yükleyicisidir.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Toplamda, Forked IcedID varyantı bugüne kadar bazıları ilk erişim aracıları (IAB’ler) tarafından üstlenilen yedi farklı kampanyada kullanıldı.
Lite varyantını sunmak için mevcut Emotet enfeksiyonlarının kullanılması, Emotet geliştiricileri ve IcedID operatörleri arasında potansiyel bir ortaklık olasılığını artırdı.
Araştırmacılar, “Geçmişte IcedID’nin ana işlevi bir bankacılık truva atı olsa da, bankacılık işlevinin kaldırılması, bankacılık kötü amaçlı yazılımlarından uzaklaşan genel manzara ve fidye yazılımı da dahil olmak üzere takip eden enfeksiyonlar için bir yükleyici olmaya artan odaklanma ile uyumludur” dedi.