Ледяной троян IcedID выучил новые трюки против обнаружения

Опубликовано at 19:14
37 0

Реже своих коллег попадающий в новости троян IcedID научился новым трюкам для обхода решений безопасности.

Вновь о популярном два года назад вирусе заговорили в июне 2020, когда специалисты сообщил об остроумных решениях по стеганографии: в новой версии не только главный модуль IcedID скрыт в изображении, но также и его конфигурационные файлы.

Теперь же специалисты компании Juniper Networks сообщили о новой фишинговой кампании, в ходе которой злоумышленники атакуют бизнес с помощью обновленного трояна IcedID.

На фоне пандемии COVID-19 троян получил новые функции, позволяющие ему оставаться незаметным для жертвы и обходить стандартные решения безопасности. В частности, в IcedID была добавлена парольная защита вложений, обфускация ключевых слов и минималистический макро-код.

Также на втором этапе атаки в качестве загрузчика злоумышленники используют динамически подключаемую библиотеку (DLL).

Новая версия IcedID распространяется через взломанные бизнес-аккаунты клиентам атакованной организации под видом рабочих документов.

Остроумное решение раз: документ представлял собой защищенный паролем вредоносный ZIP-файл. Благодаря парольной защите файл успешно обходил антивирусные решения. Пароль указывался в тексте письма, и пользователь должен был ввести его самостоятельно, чтобы открыть файл.

Остроумное решение два: злоумышленники повернули задом-наперед имя файла внутри ZIP-файла, что позволило им обойти спам-фильтры в Google Gmail.

IcedID – один из самых известных банковских троянов, который в предыдущие годы работал в том числе в коллаборации с операторами TrickBot, процветающего и поныне и занимающего первые места в списках киберугроз.

Читайте также на АКБ:

FIN6 и TrickBot теперь проводят кибератаки вместе

Подписываемся, следим @CyberAgency

Related Post

Большой шажок для ботнета: TheMoon переобулся в прокси

Опубликовано - 01.02.2019 0
Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), который злоумышленники используют для проксирования трафика в мошеннической…

Консерваторы заставят соцсети почистить старые записи

Опубликовано - 16.05.2017 0
Консервативная партия Великобритании в своем предвыборном манифесте, который будет обнародован на этой неделе, пообещает дать интернет-пользователям возможность удалить все записи…