IcedID: malware nou descoperit de IBM pe scena bancară

Cuprins

Într-o lume în care totul este gestionat online, putem vedea că toate datele noastre se află într-o variabilă de securitate constantă, care are întotdeauna tendința de a fi vulnerabili din cauza miilor de atacuri care se execută pe web.

Cei mai mulți dintre noi efectuăm frecvent tranzacții comerciale pe internet, unde sunt în joc datele noastre personale, numerele de cont bancar, numerele cardurilor de credit și multe altele, ceea ce face din aceasta o situație delicată de securitate, deoarece dacă este vorba de informații cădea în mâinile greșite, putem fi în dificultăți grave.

Analiștii de securitate, în special în ceea ce privește malware-ul, au detectat o nouă amenințare, care este un troian bancar numit IcedID, care se află în prezent în primele sale etape de dezvoltare. Solvetic va analiza modul în care acționează această nouă amenințare pentru a lua măsurile de securitate necesare.

Cum a fost descoperit acest malware

Grupul de cercetare IBM X-Force analizează și monitorizează constant domeniul criminalității cibernetice financiare pentru a detecta evenimentele și tendințele care modelează peisajul amenințărilor atât la nivelul organizațiilor, cât și pentru consumatorii financiari, care adună milioane.

După un an care a fost foarte activ în ceea ce privește malware-ul bancar, cu atacuri precum malware la punctul de vânzare (POS) și atacuri ransomware precum WannaCry, echipa X-Force a identificat un nou troian bancar activ, natural, numit IcedID .

Potrivit cercetărilor efectuate de grupul X-Force, noul troian bancar a apărut în septembrie 2021-2022, când au fost lansate primele campanii de testare. Cercetătorii au observat că IcedID deține coduri malware modulare cu funcții moderne de troieni bancari comparabili cu malware-ul, cum ar fi troianul Zeus. În acest moment, programele malware vizează băncile, furnizorii de carduri de plată, furnizorii de servicii mobile, salarizare, poștă web și site-uri de comerț electronic din SUA, iar două dintre cele mai importante bănci britanice sunt, de asemenea, pe lista țintelor pe care malware-ul le atinge.

IcedID nu pare să fi împrumutat codul de la alți troieni cunoscuți, dar implementează caracteristici identice care îi permit să efectueze tactici avansate de manipulare a browserului. Deși capacitățile IcedID sunt deja la egalitate cu cele ale altor troieni bancari precum Zeus, Gozi și Dridex, se așteaptă să apară mai multe actualizări ale acestui malware în următoarele săptămâni.

Răspândirea programelor malware

Analiza grupului X-Force a metodei de livrare a malware-ului IcedID indică faptul că operatorii nu sunt noi în domeniul criminalității informatice și aleg să infecteze utilizatorii prin troianul Emotet. Ancheta X-Force presupune că un actor de amenințare sau un mic cibergen, a folosit Emotet ca operațiune de distribuție pentru troieni bancari și alte coduri malware în acest an. Cea mai importantă zonă de atac a Emotet este SUA. Într-o măsură mai mică, vizează și utilizatorii din Marea Britanie și din alte părți ale lumii.

Emotet este listat ca una dintre metodele notabile de distribuire a malware-ului în 2021-2022, deservind grupuri de elită cibercriminală din Europa de Est, precum cele operate de QakBot și Dridex. Emotet a apărut în 2014 după o scurgere a codului sursă original pentru troianul Bugat. Inițial Emotet a fost un troian bancar care l-a precedat pe Dridex. Ca atare, este conceput pentru a acumula și întreține rețele bot. Emotet persistă pe aparat și apoi primește componente suplimentare, cum ar fi un modul spam, un modul vierme de rețea și furtul de parole și date pentru e-mailul Microsoft Outlook și activitatea browserului utilizatorului.

Emotet în sine vine prin malspam, de obicei în fișiere de productivitate manipulate care conțin macrocomenzi rău intenționate. Odată ce Emotet infectează punctul final, acesta devine un rezident silențios și este operat pentru a servi malware de la alți criminali cibernetici fără a fi pur și simplu detectat. IcedID poate efectua atacuri care fură date financiare de la utilizator prin atacuri de redirecționare, care instalează proxy local pentru a redirecționa utilizatorii către site-uri de clonare și atacuri de injectare web, cu această metodă procesul de browser este injectat pentru a afișa conținut fals suprapus deasupra originalului pagină pretinzând a fi un site de încredere.

TTP-uri IcedIDTTP-urile (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) ale IcedID, au o serie de elemente care trebuie luate în considerare și luate în considerare atunci când vorbim despre acest malware. În plus față de cele mai comune caracteristici troiene, IcedID are capacitatea de a se răspândi pe o rețea și, odată ajunsă acolo, monitorizează activitatea online a victimei prin configurarea unui proxy local pentru tunelul de trafic, care este un concept care amintește de troianul GootKit. Tacticile lor de atac includ atacuri de injectare web și atacuri sofisticate de redirecționare similare schemei utilizate de Dridex și TrickBot.

Propagarea în rețea

Operatorii IcedID intenționează să se concentreze asupra afacerii, deoarece au adăugat un modul de propagare a rețelei la malware-ul de la început. IcedID are capacitatea de a se deplasa la alte puncte finale, iar cercetătorii X-Force au observat, de asemenea, că infectează servere terminale. Serverele de terminal furnizează de obicei, după cum sugerează și numele, terminale, cum ar fi puncte finale, imprimante și dispozitive de rețea partajate, cu un punct de conexiune comun la o rețea locală (LAN) sau la o rețea extinsă (WAN), sugerând că IcedID are deja a direcționat e-mailurile angajaților către sol la punctele finale ale organizației, extinzându-și atacul.

În graficul următor putem vedea funcțiile de propagare a rețelei IcedID, de pe un IDA-Pro:

Pentru a găsi alți utilizatori pe care să îi infecteze, IcedID interogă Lightweight Directory Access Protocol (LDAP) cu următoarea structură:

TTP-urile de fraudă financiară IcedID includ două moduri de atac

  • Atacuri de injectare web
  • Redirecționează atacurile

Pentru a face acest lucru, malware-ul descarcă un fișier de configurare de pe serverul de comandă și control (C&C) al troianului atunci când utilizatorul deschide browserul de internet. Configurația include ținte pentru care va fi declanșat un atac de injecție web, în ​​principal bănci și alte ținte care au fost echipate cu atacuri de redirecționare, cum ar fi carduri de plată și site-uri webmail.

Implementarea sarcinii utile IcedID și detalii tehnice

Cercetătorii X-Force au efectuat o analiză dinamică a eșantioanelor de malware IcedID și, de acolo, malware-ul este implementat la punctele finale care rulează diferite versiuni ale sistemului de operare Windows. Nu pare să posede nicio mașină anti-virtuală avansată (VM) sau tehnici anti-investigație, altele decât următoarele:

Necesită o repornire pentru a finaliza implementarea completă, eventual pentru a ocoli sandbox-urile care nu imită repornirea. Comunică prin Secure Sockets Layer (SSL) pentru a adăuga un strat de securitate la comunicații și pentru a evita scanările automate de către sistemele de detectare a intruziunilor.
Cu această operațiune, cercetătorii X-Force susțin că caracteristicile anti-criminalistice pot fi aplicate acestui troian în timp.

IcedID este implementat pe punctele finale țintă folosind troianul Emotet ca poartă. După repornire, sarcina utilă este scrisă în folderul% Windows LocalAppData% cu o valoare generată de unii parametri ai sistemului de operare. Această valoare este utilizată atât în ​​calea de implementare, cât și în valoarea RunKey pentru fișier.
Convenția completă pentru valoare este:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Programul malware stabilește mecanismul său de persistență prin crearea unui RunKey în registrul indicat pentru a asigura supraviețuirea acestuia după evenimentele de repornire a sistemului. Ulterior, IcedID scrie o cheie de criptare RSA pentru sistem în folderul AppData. Programele malware pot scrie pe această cheie RSA în timpul rutinei de implementare, ceea ce ar putea fi legat de faptul că traficul web este canalizat prin procesul IcedID chiar și atunci când traficul SSL este canalizat.
Fișierul temporar este scris cu următoarea convenție:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bd72 \ User \ Local \ Bd75 Temp \ CACCEF19.tmp
Procesul IcedID continuă să ruleze, lucru rar pentru malware. Acest lucru ar putea însemna că unele părți ale codului sunt încă în curs de remediere și această problemă se va schimba în următoarea actualizare.

Procesul de implementare se încheie aici și malware-ul va continua să ruleze sub procesul Explorer până la următoarea repornire a acelui punct final. După evenimentul de repornire, sarcina utilă este executată și troianul IcedID devine rezident pe punctul final. În acest moment, componentele malware sunt la locul lor pentru a începe redirecționarea traficului de internet al victimei printr-un proxy local pe care îl controlează.

Cum redirecționează IcedID traficul web al victimei

IcedID configurează un proxy local pentru a asculta și intercepta comunicațiile de la punctul final al victimei și redirecționează tot traficul de internet prin intermediul acestuia în două hamei. În primul rând, traficul este transferat către serverul local, localhost, (127.0.0.1) prin portul 49157, care face parte din porturile dinamice și / sau private TCP / IP. În al doilea rând, procesul rău intenționat al malware-ului ascultă pe acel port și exfiltrează comunicațiile relevante către serverul dvs. C&C.

Deși a fost dezvoltat recent, IcedID folosește atacuri de redirecționare. Schema de redirecționare pe care o folosește IcedID nu este o simplă predare către un alt site web cu o adresă URL diferită, dimpotrivă, este concepută pentru a părea cât mai transparentă posibil victimei.

Aceste tactici includ afișarea adresei URL a băncii legitime în bara de adrese și certificatul SSL corect al băncii, care este posibil prin menținerea unei conexiuni live la site-ul real al băncii, astfel încât să nu avem nicio modalitate de a detecta amenințarea. Schema de redirecționare IcedID este implementată prin fișierul său de configurare. Programul malware ascultă adresa URL țintă din listă și, odată ce găsește un declanșator, execută o injecție web desemnată. Această injecție web trimite victima către un site bancar fals configurat în prealabil pentru a se potrivi cu site-ul solicitat inițial prin simularea mediului lor.

Victima este păcălită să-și prezinte acreditările pe replica paginii false, care, fără să știe, o trimite la serverul atacatorului. Din acel moment, atacatorul controlează sesiunea prin care trece victima, care include de obicei ingineria socială pentru a păcăli victima în dezvăluirea articolelor de autorizare a tranzacțiilor.

Comunicare malware

Comunicațiile IcedID se realizează prin protocolul SSL criptat. În timpul unei campanii analizate la sfârșitul lunii octombrie, malware-ul a comunicat cu patru servere C&C diferite. Următorul grafic prezintă o vedere schematică a infrastructurii de comunicații și infecții IcedID:

MARI

Pentru a raporta noi infecții către botnet, IcedID trimite un mesaj criptat cu identificarea botului și informații de bază despre sistem, după cum urmează:

Părțile mesajului decodate arată următoarele detalii care sunt trimise către C&C

  • B = ID bot
  • K = numele echipei
  • L = Grup de lucru
  • M = versiunea sistemului de operare

Panou de injecție la distanță

Pentru a organiza atacuri de injectare web pentru fiecare site web al băncii țintă, operatorii IcedID au un panou de la distanță bazat pe web dedicat accesibil cu o combinație de nume de utilizator și parolă identice cu banca originală.
Panourile de injecție web sunt adesea oferte comerciale pe care infractorii le cumpără pe piețele subterane. Este posibil ca IcedID să utilizeze un panou comercial sau ca IcedID să fie malware comercial. Cu toate acestea, în acest moment nu există nicio indicație că IcedID este vândut pe piețele underground sau Dark Web.

Un panou de injecție la distanță va arăta astfel:

După cum putem vedea acolo, utilizatorul este rugat să-și introducă acreditările, așa cum face în mod normal pe site-ul băncii sale. Panoul comunică din nou către un server bazat pe platforma web OpenResty. Conform site-ului său oficial, OpenResty este conceput pentru a ajuta dezvoltatorii să creeze cu ușurință aplicații web scalabile, servicii web și portaluri web dinamice, facilitând răspândirea acestora.

Cum să ne protejăm de IcedID

Grupul de cercetare X-Force recomandă aplicarea de patch-uri de securitate pentru browsere și au efectuat singuri următorul proces:

Internet Explorer

 Conectați CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll! SSL_AuthCertificateHook

Alte browsere

 CreateProcessInternalW CreateSemaphoreA

Deși IcedID este încă în curs de răspândire, nu se știe cu certitudine ce impact va avea la nivel mondial, dar este ideal să fii cu un pas înainte și să iei măsurile de securitate necesare.

wave wave wave wave wave