Специалисты IBM X-Force обнаружили новый банковский троян IcedID. По мнению экспертов, малварь еще находится в разработке, но уже сейчас троян выглядит опаснее многих старых и известных угроз.
Исследователи пишут, что IcedID был впервые замечен еще в сентябре 2017 года, но тогда явно проходил стадию тестирования. Сейчас троян способен похищать финансовую информацию пользователей, как осуществляя перенаправляющие атаки (троян поднимает на 49157 порту зараженного устройства прокси и переадресует свою жертву на сайты-клоны), так и веб-инъекции (инжекты в процессы браузеров, необходимые для отображения фальшивого контента вместо оригинальных веб-страниц).
В прошлом лишь известный банковский троян Dridex использовал обе эти техники атак одновременно, тогда как большинство операторов малвари предпочитают концентрировать свои усилия в каком-то одном направлении.
Специалисты IBM X-Force полагают, что хакерская группа, стоящая за созданием IcedID, использует для распространения банкера ботнет и инфраструктуру трояна Emotet, то есть IcedID доставляется на уже зараженные машины, как дополнительная малварь. Судя по всему, бывший банковский троян Emotet перепрофилировали, и теперь он используется как платформа доставки разнообразных вредоносов.
Также сообщается, что в настоящее время новый банкер атакует преимущественно пользователей из США, Канады и Великобритании. Исследователи полагают, что для концентрации атак на пользователях из конкретных стран, злоумышленники используют геотаргетинговые возможности Emotet.
Судя по конфигурационным файлам малвари (специалистами удалось «поймать» несколько образцов IcedID), троян интересуется не только банками, но также провайдерами платежных карт, мобильными сервисами, почтовым веб-клиентами, e-commerce сайтами и так далее. К примеру, техника переадресации используется против почтовых сайтов и для атак на платежные карты, а веб-инжекты в основном применяются для подмены банковских порталов.
Также аналитики IBM X-Force отмечают, что банкер шифрует свое «общение» с управляющими серверами и надежно закрепляется в зараженной системе, внедряясь в реестр. По сути, единственной слабой стороной IcedID на данный момент является отсутствие механизмов, которые должны скрывать малварь от бдительного ока антивирусов, а также обнаруживать песочницы и тестовое окружение. Так, для полного завершения установки IcedID требуется разве что перезагрузка компьютера и, похоже, это единственная методика, которую банкер использует для обнаружения песочниц.