Множество злоумышленников были замечены в использовании двух новых вариантов вредоносной программы IcedID с более ограниченной функциональностью без функций, связанных с банковским мошенничеством.
IcedID, также известный как BokBot, начал свою деятельность как банковский троян в 2017 году. Он также способен поставлять дополнительные вредоносные программы, включая ransomware.
«Известная версия IcedID состоит из начального загрузчика, который связывается с сервером Loader [командно-контрольный сервер], загружает стандартную DLL Loader, которая затем доставляет стандартный IcedID Bot» - сообщается в новом отчете Proofpoint.
Одна из новых версий - это вариант Lite, который ранее был замечен в качестве последующей полезной нагрузки вредоноса Emotet в ноябре 2022 года. Также в феврале 2023 года был замечен форкнутый вариант IcedID.
Оба варианта предназначены для распространения так называемой форкированной версии IcedID Bot, в которой отсутствуют веб-инъекции и функции обратного подключения, которые обычно используются для банковского мошенничества, отметили в компании, специализирующейся на корпоративной безопасности.
«Вероятно, разработчики используют модифицированные варианты, чтобы переориентировать вредоносное ПО с типичных банковских троянов и банковского мошенничества на доставку полезной нагрузки, что, вероятно, включает в себя приоритетную доставку выкупного ПО» - отметили в Proofpoint.
Февральская кампания была связана с новой группой под названием TA581, которая распространяла вариант Forked с помощью вложений Microsoft OneNote. Другой вредоносной программой, используемой TA581, является загрузчик Bumblebee.
В целом, вариант Forked IcedID был использован в семи различных кампаниях, некоторые из которых были предприняты брокерами первоначального доступа (IAB).
Использование существующих инфекций Emotet для доставки варианта Lite повысило вероятность потенциального партнерства между разработчиками Emotet и операторами IcedID.
«Хотя исторически основной функцией IcedID был банковский троян, удаление банковской функциональности соответствует общему изменению ландшафта в сторону отказа от банковских вредоносных программ и все большего внимания к загрузке последующих инфекций, включая шифровальщики» - заявили исследователи.
Источник: https://thehackernews.com
