Реже своих коллег попадающий в новости троян IcedID научился новым трюкам для обхода решений безопасности.
Вновь о популярном два года назад вирусе заговорили в июне 2020, когда специалисты сообщил об остроумных решениях по стеганографии: в новой версии не только главный модуль IcedID скрыт в изображении, но также и его конфигурационные файлы.
Теперь же специалисты компании Juniper Networks сообщили о новой фишинговой кампании, в ходе которой злоумышленники атакуют бизнес с помощью обновленного трояна IcedID.
На фоне пандемии COVID-19 троян получил новые функции, позволяющие ему оставаться незаметным для жертвы и обходить стандартные решения безопасности. В частности, в IcedID была добавлена парольная защита вложений, обфускация ключевых слов и минималистический макро-код.
Также на втором этапе атаки в качестве загрузчика злоумышленники используют динамически подключаемую библиотеку (DLL).
Новая версия IcedID распространяется через взломанные бизнес-аккаунты клиентам атакованной организации под видом рабочих документов.
Остроумное решение раз: документ представлял собой защищенный паролем вредоносный ZIP-файл. Благодаря парольной защите файл успешно обходил антивирусные решения. Пароль указывался в тексте письма, и пользователь должен был ввести его самостоятельно, чтобы открыть файл.
Остроумное решение два: злоумышленники повернули задом-наперед имя файла внутри ZIP-файла, что позволило им обойти спам-фильтры в Google Gmail.
IcedID – один из самых известных банковских троянов, который в предыдущие годы работал в том числе в коллаборации с операторами TrickBot, процветающего и поныне и занимающего первые места в списках киберугроз.
Читайте также на АКБ:
