IcedID Botnet Detection: Malvertising Attacks Abusing Google Pay-Per-Click (PPC) Ads
Inhaltsverzeichnis:
Ende Dezember 2022 beobachteten Cybersicherheitsforscher eine neue Welle bösartiger Aktivitäten zur Verbreitung des bemerkenswerten IcedID-Botnetzes. In dieser laufenden Kampagne missbrauchen Bedrohungsakteure Google-Pay-per-Click (PPC)-Anzeigen, um die neuartige Variante der Malware zu verbreiten, die als TrojanSpy.Win64.ICEDID.SMYXCLGZ verfolgt wird.
Erkennung von IcedID Botnet-Infektionen durch Malvertising
Da sich das IcedID-Botnetz ständig weiterentwickelt und neue Tricks zu seinem bösartigen Werkzeugkasten hinzufügt, benötigen Sicherheitsexperten eine zuverlässige Quelle für Erkennungsinhalte, um potenzielle Angriffe proaktiv zu identifizieren. Um sicherzustellen, dass Cyberverteidiger gut gegen die sich entwickelnde Bedrohung gerüstet sind, aggregiert SOC Primes Detection as Code Plattform eine Reihe von Sigma-Regeln von unseren engagierten Threat-Bounty-Entwicklern Kaan Yeniyol, Emir Erdoganund Nattatorn Chuensangarun , die die neuesten Kampagnen der IcedID-Botnetzbetreiber abdecken.
Alle Erkennungsinhalte sind mit über 25 SIEM-, EDR-, BDP- und XDR-Lösungen kompatibel und sind auf das MITRE ATT&CK®-Rahmenwerk v12 abgebildet, das die Verteidigungsevasion und Ausführungstaktiken sowie die entsprechenden Techniken System Binary Proxy Execution (T1218) und Command and Scripting Interpreter (T1059) adressiert.
Treten Sie unserem Threat Bounty Programm bei, um Ihre exklusiven Erkennungsinhalte zu monetarisieren, während Sie Ihren zukünftigen Lebenslauf kodieren und Ihre Erkennungstechnikfähigkeiten schärfen. Veröffentlicht auf dem weltweit größten Bedrohungserkennungs-Marktplatz und von 8.000 Organisationen global genutzt, können Ihre Sigma-Regeln helfen, neu auftretende Bedrohungen zu erkennen und die Welt zu einem sichereren Ort zu machen, während wiederkehrende finanzielle Gewinne gewährt werden.
Bis heute aggregiert die SOC Prime Plattform eine Vielzahl von Sigma-Regeln, die Werkzeuge und Angriffstechniken im Zusammenhang mit der IcedID-Malware erkennen. Klicken Sie auf die Schaltfläche Erkennungen erkunden , um die neuesten Erkennungsalgorithmen zu überprüfen, die von den entsprechenden ATT&CK-Referenzen, Bedrohungsintelligenz-Links und anderen relevanten Metadaten begleitet werden.
Verbreitung des IcedID-Botnetzes: Analyse des Malvertising-Angriffs
Das IcedID-Botnetz steht seit 2017 im Rampenlicht der Cyberbedrohungsszene und stellt aufgrund der ständigen Weiterentwicklung und Verfeinerung seiner Varianten ein erhebliches Risiko für Organisationen dar. IcedID ist in der Lage, andere Nutzlasten zu liefern, darunter Cobalt Strike und andere bösartige Stämme.
Früher als Banking-Trojaner bekannt, auch als BankBot oder BokBot bezeichnet und entwickelt, um Finanzdaten und Bankanmeldeinformationen zu stehlen, entwickelte sich die Malware zu einer fortschrittlicheren Nutzlast , die E-Mail-Entführungen nutzt, um im April 2022 Microsoft Exchange-Server zu kompromittieren. Im selben Monat wurde IcedID-Malware auch bei Cyberangriffen auf ukrainische staatliche Stellen verwendet, gemäß der entsprechenden CERT-UA-Warnung.
In den neuesten Kampagnen, die das IcedID-Botnetz verbreiten, haben Trend Micro Cybersicherheitsforscher auffällige Veränderungen in den Malware-Verbreitungsmethoden aufgedeckt. Bedrohungsakteure wenden die Malvertising-Technik an, die das Hijacken ausgewählter Suchmaschinen-Schlüsselwörter beinhaltet, um bösartige Anzeigen zu zeigen, die als Köder verwendet werden, um kompromittierte Benutzer dazu zu verleiten, die Malware herunterzuladen. In den laufenden Malvertising-Angriffen nutzen Angreifer die beliebten Google-Pay-per-Click (PPC)-Anzeigen, die es Unternehmen ermöglichen, das beworbene Produkt oder die Dienstleistung einer breiten Zielgruppe zu präsentieren, die über eine Google-Suchmaschine sucht. IcedID-Vertreiber verbreiten Malware, indem sie geklonte Webseiten legitimer Unternehmen oder weit verbreiteter Anwendungen nutzen, um Benutzer von Google PPC-Anzeigen zu ködern.
Bemerkenswerterweise gab das Federal Bureau of Investigation (FBI) am 21. Dezember 2022 eine öffentliche Ankündigung heraus, die Cyberverteidiger vor den steigenden Volumen von Malvertising-Kampagnen warnte, in denen Angreifer Marken über Suchmaschinen-Anzeigen imitieren, um Anmeldeinformationen und andere Finanzdaten zu stehlen.
Laut Trend Micro Forschung entführen IcedID-Verbreiter die Suchmaschinen-Schlüsselwörter, die von einer Vielzahl beliebter Marken und Anwendungen verwendet werden, um bösartige Anzeigen zu zeigen, darunter Adobe, Discord, Fortinet, Slack, Teamviewer und mehr. Die Infektionskette beginnt mit der Verbreitung eines Loaders, gefolgt vom Abrufen eines Bot-Kerns und schließlich der Lieferung einer bösartigen Nutzlast. In der neuesten IcedID-Verteilungskampagne wird der Loader mit einer MSI-Datei gedroppt, was für andere Angriffe, die das IcedID-Botnetz verbreiten, ungewöhnlich ist.
Als potenzielle Minderungsmaßnahmen, die ergriffen werden können, um die Risiken von Malvertising-Angriffen zu minimieren, empfehlen Cyberverteidiger den Einsatz von Werbeblockern, die Nutzung von Domänenschutzdiensten und die Erhöhung des Bewusstseins für Cybersicherheitsrisiken im Zusammenhang mit der Nutzung gefälschter Websites.
Um die ständig zunehmenden Malvertising-Angriffe abzuwehren, sollten Cybersicherheitsverteidiger einen proaktiven Cybersecurity-Ansatz zur rechtzeitigen Identifizierung der Malware-Präsenz in der Umgebung der Organisation annehmen. Erhalten Sie sofortigen Zugang zu einzigartigen Sigma-Regeln für Malvertising-Angriffsdetektion und erkunden Sie relevante Cyber-Bedrohungskontexte, wie ATT&CK- und CTI-Referenzen, ausführbare Binärdateien, Abhilfemaßnahmen und mehr umsetzbare Metadaten für störungsfreies Bedrohungsforschungserlebnis.
