IcedID nutzt innovative Verbreitungsmethoden, erhöht Infektionsraten signifikant

[post-views]
April 19, 2021 · 5 min zu lesen
IcedID nutzt innovative Verbreitungsmethoden, erhöht Infektionsraten signifikant

Der Global Threat Index von Check Point Research für März 2021 zeigt dass die Betreiber des IcedID-Banking-Trojans das große Geschäft betreten. Letzten Monat wurde IcedID erstmals in den Index aufgenommen und belegte sofort den zweiten Platz direkt nach dem berüchtigten Dridex. Eine Welle von Infektionen und Bekanntheit wird durch die innovativen Liefermethoden erklärt, die IcedID-Betreiber anwenden, um neue Höhen zu erreichen. Sicherheitsexperten glauben, dass dieser schnelle Kapazitätsaufbau durch den Wunsch getrieben wird, das kürzlich gestörte Emotet-Botnet in der bösartigen Arena zu ersetzen. 

IcedID Banking Trojaner

IcedID (auch bekannt als BokBot) ist ein modularer Banking-Trojaner, der in der Lage ist, Finanzdaten zu stehlen und als Dropper für Malware-Proben der zweiten Stufe zu fungieren. Nachdem er im September 2017 erstmals aufgetaucht war, wurde die Malware in mehreren bösartigen Kampagnen eingesetzt, die auf Banken, Zahlungskartenanbieter, Telekommunikationsanbieter und E-Commerce-Seiten in den USA abzielten. Ursprünglich wurde der IcedID-Trojaner von Emotet geliefert, doch im Laufe der Zeit wurden neue Liefermethoden eingeführt. 

Der IcedID-Infostealer verfügt über umfangreiche bösartige Funktionen, die es seinen Betreibern ermöglichen, Anmeldeinformationen für Online-Banking-Sitzungen zu dumpen, Bankkonten zu übernehmen und betrügerische Transaktionen zu automatisieren. Besonders bei einer Infektion verbreitet sich die Malware über das kompromittierte Netzwerk, überwacht alle Aktivitäten auf dem PC und führt Man-in-the-Browser-Angriffe durch. Solche Angriffe folgen drei Stufen, einschließlich Webinjektion, Proxy-Einrichtung und Umleitung. Dieser Ansatz ermöglicht es IcedID, Opfer durch Social Engineering zu täuschen und Multi-Faktor-Authentifizierung zu umgehen, während gleichzeitig Zugang zu Bankkonten gewonnen wird. Um unbemerkt zu bleiben, während die bösartigen Aktionen durchgeführt werden, versteckt IcedID seine Konfiguration mithilfe der Steganographie-Technik, während gleichzeitig Anti-VM- und Anti-Debugging-Funktionen angewendet werden.

Bemerkenswerterweise wird die Malware zunehmend als Dropper der zweiten Stufe eingesetzt, abgesehen von der datendiebstahlenden Funktionalität. Sicherheitsexperten glauben, dass die Bedrohung sich zu einem Malware-as-a-Service (MaaS)-Modell entwickelt, wobei bereits verschiedene Ransomware in den IcedID-Kampagnen geliefert werden.

Neue Liefermethoden

Nach der Störung des Emotet-Botnets im Januar 2021 begannen die IcedID-Wartungsmitglieder, die Liefermethode zu diversifizieren, um die Infektionsraten zu erhöhen. Letzten Monat haben Sicherheitsexperten von Uptycs eine neue IcedID-Kampagne identifiziert, die den xlsm-Support für Excel 4.0-Makroformeln in den Tabellenkalkulationszellen missbraucht. Insbesondere nutzen Angreifer diese Funktion, um den willkürlichen Code einzubetten und die bösartigen ausführbaren Dateien über URLs herunterzuladen. In den letzten drei Monaten haben Uptycs-Experten mehr als 15.000 HTTP-Anfragen für bösartige Dokumente entdeckt, von denen die meisten Microsoft Excel-Tabellen mit einer Erweiterung getragen haben. a new IcedID campaign abusing the xlsm support for Excel 4.0 Macros formulas in the spreadsheet cells. Specifically, adversaries leverage this feature to embed the arbitrary code and download the malicious executables via URLs. Throughout the last three months, Uptycs experts have spotted 15K+ HTTP requests for malicious documents, most of which were Microsoft Excel spreadsheets carrying an extension.

Darüber hinaus hat Microsoft im April 2021 eine noch ungewöhnlichere Liefermethode für den IcedID-Trojaner offenbart. In der neuesten Kampagne nutzten die Malware-Betreiber Website-Kontaktformulare, um Unternehmen verschiedener Größen zu zielen. Angreifer missbrauchten diese Formulare, um gefälschte E-Mails zu senden, die über eine angebliche rechtliche Bedrohung informierten. Insbesondere informierte die E-Mail über eine Urheberrechtsverletzung und enthielt eine bösartige URL, die zu einer Google-Seite führte. Sollte ein Benutzer auf diesen Link hereingefallen sein, lud die Seite ein bösartiges ZIP-Archiv mit einer stark verschleierten JS-Datei herunter. Nach der Extraktion wurde die JS-Datei über WScript ausgeführt, um die endgültige IcedID-Nutzlast herunterzuladen. an even more unusual delivery method for IcedID Trojan. In the latest campaign, the malware operators leveraged website contact forms to target businesses of various sizes. Attackers misused these forms to send forged emails messaging about an alleged legal threat. Particularly, the email informed about a copyright infringement and contained a malicious URL leading to a Google page. In case a user was tricked to follow this link, the page downloaded a malicious ZIP archive with a heavily obfuscated JS file inside. Upon extraction, the JS file was executed via WScript to download the final IcedID payload.

IcedID-Erkennung

Um den innovativen Infektionsmethoden des berüchtigten IcedID-Trojaners voraus zu sein, können Sie maßgeschneiderte Sigma-Regeln herunterladen, die von unserem produktiven Threat Bounty-Entwickler veröffentlicht wurden Osman Demir.

IcedID (BokBot) von Zipped JS-Datei

IcedID-Kampagne gewürzt mit Excel 4 Macros gesichtet

Malspam-Kampagne setzt IcedID ab und führt zu REvil Ransomware

Außerdem können Sie die vollständige Liste der IcedID-Erkennungen überprüfen verfügbar im Threat Detection Marketplace.

Erhalten Sie ein kostenloses Abonnement für unsere Detection as Code-Plattform, um Ihre Cyber-Abwehrfähigkeiten zu verbessern und die mittlere Zeit für die Angriffsdetektion zu verkürzen. Unsere branchenweit erste SOC-Inhaltsbibliothek umfasst über 100.000 Regeln, Parser und Suchanfragen, die auf CVE und MITRE ATT&CK®-Frameworks abgebildet sind. Über 300 Mitwirkende bereichern die Bibliothek täglich, um die kontinuierliche Erkennung der alarmierendsten Cyber-Bedrohungen zu ermöglichen. Möchten Sie zu den Threat-Hunting-Initiativen beitragen und Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm bei!

Gehe zur Plattform Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko